Согласно данным статистики антивируса Dr.Web, в 2024 году общее число обнаруженных угроз увеличилось на 26,20%, а число уникальных угроз (с использованием конкретного вирусного ПО) – на 51,22%. Одним из самых распространенных последствий кибератак стала утечка конфиденциальной информации и данных пользователей: 72% таких случаев затронули частных лиц, а 54% — организации. Часто при этом злоумышленники используют стилеры – один из классов вредоносного программного обеспечения, которые используются для несанкционированного доступа к паролям, банковским данным и другой личной информации. Ученые Пермского Политеха разработали и протестировали код для обнаружения этих угроз. Он показал эффективность в 93% случаев.
Фото: Glenn Carstens-Peters, Unsplash
Статья опубликована в сборнике материалов конференции «Автоматизированные системы управления и информационные технологии», том 2, 2024. Разработка выполнена в рамках программы стратегического академического лидерства «Приоритет 2030».
Стилер (от английского stealer – похититель) — это тип вредоносного ПО, разработанный специально для кражи данных с зараженного компьютера. Они направлены на сбор логинов, паролей, кредитных карт, файлов браузеров, истории просмотров и другой информации о системе. Эти программы часто используются в цепочке сложных атак, где начальный этап — сбор информации, а следующий — использование полученных данных для более серьезных проникновений, например, в корпоративные системы или облачные хранилища. Распространяются стилеры через мошеннические письма, поддельные сайты, спам-рекламу и даже имитацию пиратского программного обеспечения (читы для игр). Они представляют угрозу не только для частных пользователей, но и для компаний, а украденные данные могут использоваться для целевых атак или мошенничества.
Одним из наиболее опасных представителей этого класса стал Lumma Stealer — вирус, который активно используется киберпреступниками. Он маскируется под файлы с двойным расширением (по типу pdf.exe), чтобы обмануть пользователей. Распространяется он через поддельные сайты по переводу файлов из одного формата в другой: из документа Microsoft Word в PDF, из видео в аудио и так далее. Происходит это так: человек загружает на сайт документ формата, например, docx, конвертирует, а в результате скачивает файл вида document.pdf.exe, где и находится вирус. После запуска такого файла (а, на самом деле, программы) Lumma начинает свою работу: внедряется в систему, скрывает следы своего присутствия и собирает личные данные.
Методы многих современных антивирусов не всегда хорошо работают против конкретных стилеров, поскольку не отличаются гибкостью. Lumma использует продвинутую технику под названием Hollowing Injection: она позволяет ему маскироваться под легитимные процессы Windows. Это делает вирус особенно трудным для обнаружения традиционными средствами защиты.
Для борьбы с такими угрозами все чаще используется открытый инструмент YARA — это не конкретная программа, а система правил (кодов), которые предназначены для обнаружения вредоносного ПО. Это скорее напоминает язык программирования. Правила работают на основе уникальных шаблонов, которые каждый специалист может разработать индивидуально под конкретные задачи.
Ученые Пермского Политеха разработали уникальный набор правил YARA для обнаружения вирусов класса Lumma Stealer. Для этого они провели детальный анализ поведения вредоносного ПО и сформулировали уникальные строки и условия, по которым система будет определять наличие заражения в файлах.
– Наш способ анализирует поведение вируса: какие процессы он запускает, с какими файлами взаимодействует, пытается ли использовать какие-то техники для скрытия своей работы и так далее. Такой подход позволяет понять характерное поведение стилера, даже если его код был изменен или замаскирован. Также метод ученых обращает внимание на сигнатуры – это своего рода «отпечаток пальца» вредоносной программы, то есть уникальная последовательность байтов или строк, – рассказывает Дарья Тарутина, магистрант кафедры «Автоматика и телемеханика» ПНИПУ.
Сочетание этих двух методов дает высокую точность обнаружения и возможность быстро реагировать на угрозы. Кроме того, эти условия можно легко адаптировать под другие семейства стилеров.
– Разработанные нами правила YARA ищут специфические строки, характерные для Lumma, внутри исполняемых файлов. Работа метода была протестирована в изолированной среде на Windows 10. Сканирование проводилось для 192 файлов, из них 94 вредоносных. Результаты показали высокую эффективность: обнаружено 93% зараженных элементов, – комментирует Андрей Кокоулин, доцент кафедры «Автоматика и телемеханика» ПНИПУ, кандидат технических наук.
Благодаря простоте и гибкости этот инструмент может быть легко интегрирован в системы мониторинга, антивирусные решения и платформы обнаружения угроз. Кроме того, разработка собственных правил позволяет организациям реагировать на новые угрозы оперативно, не дожидаясь обновлений от антивирусов. Это особенно важно в условиях роста числа новых вредоносных программ, которые могут быстро изменять свои характеристики и обходить стандартные методы обнаружения.
