Некоторые методы противодействия вредоносным программам, использующим экосистему блокчейн
Аннотация
Был собран и проанализирован значительный набор криптоджекеров и программ-вымогателей.
2. Была проведена классификация собранного набора с выделением семейств вредоносных программ.
3. Для программ-вымогателей было выявлено две характерные уязвимости – использование блочных шифров в режиме ECB и использование стандартных криптографических библиотек. Для криптоджекеров был выявлен характерный набор поведенческих параметров.
4. На основании выявленных уязвимостей и поведенческих особенностей были разработаны и реализованы в программном коде следующие алгоритмы: противодействия программам-вымогателям методом специального кодирования и перехвата ключа, поведенческого обнаружения криптоджекеров.
5. Данные программы были апробированы на наборах соответствующих вредоносных программ с эффективностью в 52% для программ вымогателей (но 100% для программ-вымогателей, обладающих описанными уязвимостями) и 91% для криптоджекеров.
Дальнейшее противодействие программам-вымогателям в рамках данного исследования является маловероятным, т.к. киберпреступники перешли на модель индивидуальных атак, эксплуатирующим уязвимости сети конкретного предприятия. Однако, перспективным представляется законодательный запрет выплаты выкупа киберпреступника с одновременным внедрением системы страхования данных.
2. Была проведена классификация собранного набора с выделением семейств вредоносных программ.
3. Для программ-вымогателей было выявлено две характерные уязвимости – использование блочных шифров в режиме ECB и использование стандартных криптографических библиотек. Для криптоджекеров был выявлен характерный набор поведенческих параметров.
4. На основании выявленных уязвимостей и поведенческих особенностей были разработаны и реализованы в программном коде следующие алгоритмы: противодействия программам-вымогателям методом специального кодирования и перехвата ключа, поведенческого обнаружения криптоджекеров.
5. Данные программы были апробированы на наборах соответствующих вредоносных программ с эффективностью в 52% для программ вымогателей (но 100% для программ-вымогателей, обладающих описанными уязвимостями) и 91% для криптоджекеров.
Дальнейшее противодействие программам-вымогателям в рамках данного исследования является маловероятным, т.к. киберпреступники перешли на модель индивидуальных атак, эксплуатирующим уязвимости сети конкретного предприятия. Однако, перспективным представляется законодательный запрет выплаты выкупа киберпреступника с одновременным внедрением системы страхования данных.