В марте защитные средства Microsoft предотвратили мощную атаку на пользователей Windows в России. В случае ее успеха как минимум сотни тысяч компьютеров использовались бы для майнинга криптовалюты в пользу злоумышленников.
Штатная программа защиты Windows Defender заблокировала волну заражения из 80 тысяч троянов. Через несколько часов была заблокирована вторая волна уже из 400 тысяч троянов. Основными целями атак стали компьютеры в России (73%), Турции (18%) и Украине (4%).
Вредоносные программы представляли собой несколько сложных разновидностей троянов, известных как Dofoil, или Smoke Loader. Их целью были компьютеры пользователей Microsoft Windows – злоумышленники планировали с помощью троянов тайно от владельцев установить на них ПО для добычи (майнинга) криптовалюты и создать из них распределенную сеть для собственного обогащения на чужих вычислительных мощностях.
География атаки Dofoil
Злоумышленники не впервые атакуют чужие компьютеры ради майнинга криптовалют – такие инциденты отмечались и раньше. Особенность этой атаки была в продвинутых способах проникновения вредоносного кода в систему и его защиты от обнаружения антивирусными средствами.
Все решили миллисекунды
Вирусная эпидемия была предотвращена благодаря тому, что ее вовремя обнаружили системы поведенческого анализа Microsoft. Сразу после выявления подозрительной активности Windows Defender отправил информацию о ней в облачную службу защиты. Почти мгновенно, за миллисекунды, служба приступила к блокировке угрозы.
В следующие секунды модели машинного обучения в облаке Microsoft проанализировали образцы и подтвердили правомерность отнесения их к зловредному ПО, затем эти выводы были еще раз подтверждены моделями на основе детонации. После этого служба обнаружения аномалий сообщила специалистам о возможной вспышке заражения, и сотрудники группы реагирования на инциденты проанализировали и классифицировали угрозу.
Подозрительная сетевая активность, отображаемая в Windows Defender
Специалисты Microsoft отмечают, что пользователи Windows 10, Windows 8.1 и Windows 7 с антивирусными программами Windows Defender или Microsoft Security Essentials были полностью защищены от этой угрозы. В основу их работы заложены механизмы упреждающей защиты, использующие искусственный интеллект.
Что должно было произойти
Такие многоуровневые кибератаки происходят в последнее время все чаще. Как правило, они тщательно планируются и проходят длительный этап подготовки. Наградой киберпреступникам становится «бесплатная» криптовалюта, стоимость которой достаточно высока, а добыча требует больших вычислительных ресурсов, затрат электроэнергии и времени. В данном случае атака готовилась с середины февраля.
Троян Dofoil распространяется несколькими способами, в том числе через спам и эксплойты. В этот раз он действовал иначе, используя для проникновения на компьютеры программу MediaGet с подставленным сертификатом, принадлежащим другой атакованной ранее компании.
Подозрительная сетевая активность, отображаемая в Windows Defender
MediaGet – это популярный битторрент-клиент, который используется для загрузки и распространения файлов в P2P-сетях. Одна из особенностей работы таких программ заключается в том, что их пользователи чаще других людей надолго оставляют свои компьютеры включенными с целью поддержки активных закачек и раздач файлов, и это должно было помочь злоумышленникам в майнинге криптовалют. По этой же причине у пользователей торрентов редко возникают вопросы относительно собственного интернет-трафика и загруженности системы, что можно было использовать для маскировки процесса майнинга. А закачки взломанных программ, на которые антивирусы иногда выдают ложные срабатывания, часто мотивируют их отключать защиту.
Интересно, что в этот раз хозяева трояна не стали загружать его обычным путем через torrent-файлы. Вместо этого они заразили обновление программы MediaGet на сервере и с его помощью попытались проникнуть на компьютеры. Дальше, по их замыслу, обновление должно было заразить исполняемый файл программы. Он, в свою очередь, подключался бы к серверу управления и контроля, загружал и запускал программу майнинга CoinMiner.
Средства защиты
Антивирус Windows Defender, как уже было сказано, использует многоуровневый подход к обеспечению защиты не только от известных, но и от новых зловредов. Для этого Microsoft применяет алгоритмы обнаружения угроз на основе анализа поведения, универсальных шаблонов и эвристического анализа, модели машинного обучения на клиентских устройствах и в облаке.
В частности, компания разработала Windows Defender Advanced Threat Protection (Windows Defender ATP) – набор инструментов безопасности нового поколения, которые обеспечивают защиту клиентов в реальном времени. Защита корпоративных клиентов от зараженного трояном ПО MediaGet была обеспечена антивирусом Windows Defender AV с функцией защиты от потенциально ненадежных приложений.
При анализе сорванной атаки выяснилось, что расширенные библиотеки обнаружения в Windows Defender ATP определяли вредоносное поведение Dofoil на всех этапах заражения. В данном случае вредоносным поведением было проникновение трояна в систему, его защита от обнаружения и внедрение программы для майнинга криптовалют. Windows Defender ATP также предоставляет встроенные инструменты защиты Windows Defender AV, Windows Defender Exploit Guard и Windows Defender Application Guard для управления системой безопасности на всех уровнях.