Опасный код: как путем анализа вредоносных программ можно спасти бизнес 

Современный бизнес уже не может существовать без IT инфраструктуры, но с цифровизацией приходит и новая угроза – кибератаки. Представьте себе, что на ваш сервер, компьютер, телефон за одни сутки последовательно совершаются тысячи попыток взлома. Некоторые из них становятся элементами успешной атаки, парализующей работу компании, приведя к утечке данных, шантажу, репутационным потерям.

Как обеспечить безопасность в такой ситуации? Ответ на поверхности: вам нужны технологии и опытные специалисты по кибербезопасности, которые обеспечат защиту вашего бизнеса от киберугроз в режиме реального времени.

Облачный провайдер beCloud запустил новую услугу “Анализ вредоносных программ”, предназначенную для повышения уровня защищенности информационных систем и ресурсов клиентов. Это не просто реакция на угрозу, а стратегическая защита, позволяющая бизнесу понимать “врага”, предсказывать атаки и строить непробиваемую оборону.

Сегодня мы хотели бы поговорить с экспертами beCloud о кибербезопасности, о том, как бизнесу защититься от киберугроз, о мировых стандартах оказания услуг инфобеза и ключевых направлениях работы собственного подразделения beCloud в сфере IT-безопасности.

Юлия Гаврилович, заместитель генерального директора по коммерческим вопросам beCloud

Сергей Прокопов, заместитель генерального директора по информационным технологиям beCloud
 
Краткая справка.

Центр кибербезопасности, или SOC (Security Operations Center) – подразделение или команда в организации, ответственная за обеспечение безопасности информационных систем, мониторинг угроз, обнаружение и реагирование на инциденты, а также предотвращение киберугроз. SOC работает круглосуточно, используя информацию, различные методы, инструменты и технологии для защиты от кибератак. 

SOC beCloud объединил специалистов различных направлений, современные процессы, технологии и оборудование. Работа центра уже позволила выявить многочисленные угрозы, расследовать и предотвратить киберинциденты.

Безопасность облаков – какая она?

– Согласно нашим наблюдениям, с каждым годом клиенты активнее переходят в облако, -рассказывает Юлия Гаврилович, заместитель генерального директора по коммерческим вопросам beСloud. – Однако перед тем как принять финальное решение о переводе своей инфраструктуры, от потенциального клиента можно слышать сомнения: безопасно ли хранить данные в облаке, насколько надежно организована защита информации?

Тут включаются наши специалисты и прилагают максимальные усилия, чтобы развеять малейшие опасения. Бдительность в вопросах безопасности действительно важна, мы должны понимать: сегодня кибератаки – это общее явление, применимое практически к любому сценарию использования IT-инфраструктуры, и при переходе в облако уровень кибербезопасности только растет. 

– Чаще всего до перехода в облако клиент не сталкивался с экспертизой в облачной безопасности и мог испытывать сложности с соблюдением требований законодательства, – поясняет Дмитрий Пономаренко, начальник Центра обеспечения кибербезопасности и реагирования на киберинциденты beCloud . – Именно поэтому специалисты ЦКБ beCloud предлагают белорусским компаниям сервисы по защите своих цифровых активов. 

Среди услуг – круглосуточный мониторинг и реагирование на инциденты, аудит информационной безопасности, а также оценка защищенности IT-инфраструктуры в соответствии с законодательными требованиями.

– Добавлю, что практически всегда клиент переходит в облако как раз из-за проблем, с которыми он столкнулся локально, – уточняет Сергей Прокопов, заместитель генерального директора по информационным технологиям beCloud. – В частности, это могут быть проблемы с сопровождением функционирования информационных систем: крупные локальные платформы клиента ограничивают внедрение современных решений; необходимость выполнения требований законодательства по обработке информации, распространение или предоставление которой ограничено, включая персональные данные, коммерческую тайну.

Одна из самых очевидных причин миграции в облако – желание бизнеса оптимизировать расходы на инфраструктуру, не платить заранее за дорогостоящее оборудование и специалистов, а покупать только те ресурсы, которые действительно используются. Благодаря миграции в облако бизнес добивается повышения эффективности.

А главное – облако обеспечивает более высокий уровень защиты от киберугроз.

Как путем анализа вредоносного ПО можно спасти бизнес?

По словам Юлии Гаврилович, киберугрозы становятся все более изощренными – традиционные антивирусные решения не успевают за появляющимися методами атак. Анализ вредоносных программ, или, если проще, “вредоносов”, дает компаниям критически важное преимущество – возможность оперативно понять механизмы работы вредоносного кода, источники заражения, их влияние на информационные системы и выстроить модель защиты от подобных угроз в будущем. 

В условиях, когда каждая успешная атака может обернуться существенными убытками, такой анализ становится не просто полезным инструментом, а необходимостью для любого бизнеса, который ценит свою цифровую безопасность.

– Эксперты в области reverse engineering предоставляют подробный разбор вредоносного кода и его функционального назначения, а также способы его распространения и потенциальный ущерб для инфраструктуры, – поясняет Сергей Прокопов. – Основной же целью является получение идентификаторов компрометации, которые позволят более качественно центру кибербезопасности отреагировать на киберинцидент у заказчика.

Заказчик услуги должен понимать, и это очень важный момент: результат работы Центра кибербезопасности – не просто описание угрозы, а готовые шаги по защите информационных систем клиента. 

Мы показываем, где уязвимость, как ее закрыть, какие индикаторы компрометации искать, как настроить средства защиты, чтобы подобное больше не повторилось. Мы работаем с утечками данных, шпионским ПО, шифровальщиками, ботнетами, скрытыми майнерами – со всем, что может уничтожить ваш цифровой бизнес изнутри.
Как работает анализ “вредоносов” beCloud?
– Клиент передает нам образ вредоносной программы, – рассказывает Дмитрий Пономаренко. – Мы изучаем поведение кода в изолированной среде, механизмы его работы, алгоритмы действия, возможности функционала и влияния на зараженную систему. По итогам анализа клиенту предоставляется детальный отчет с индикаторами компрометации (IOCs), рекомендациями и интеграцией в систему безопасности клиента. Это значит, что при следующей атаке с таким же кодом защита клиента сработает автоматически.

– Белорусский бизнес подходит к вопросам кибербезопасности с высокой ответственностью, инвестирует в развитие и обучение специалистов, создает платформы по обеспечению информационной и кибербезопасности, – отмечает Сергей Прокопов. -Это внедрение мировых стандартов оказания услуг в области инфобеза.

Участие в кибербитвах – не просто соревнование, это боевые учения. Недавно команда SOC beCloud стала призером кибербитвы на Петербургском экономическом форуме. Там мы столкнулись с реальными атаками, включая трендовые сценарии: фишинг, zero-day уязвимости, атаки на цепочку поставок. Это помогает нам оттачивать навыки, проверять технологии и готовиться к самым изощренным угрозам. 

– Кибербитвы, включая ту, что упомянута выше, – полноценная проверка боем команды реагирования на киберинциденты, – продолжает Дмитрий Пономаренко. – Мы видим, как атаки бьют по защите инфраструктуры клиента, и учимся реагировать. Матрица тактик и техник полезна для оценки угроз и разработки стратегии обороны информационной системы.

По словам Сергея Прокопова, угрозы эволюционируют каждый день. В этом году виден рост атак с использованием фишинга и социальной инженерии – 90% атак начинаются с письма. Злоумышленники действуют скрытно, маскируя трафик под легитимный. Плюс атаки на цепочки поставок и использование zero-day уязвимостей (неустраненные уязвимости, против которых еще не разработаны защитные механизмы).

В среднем Центр обеспечения кибербезопасности beCloud фиксирует около 50 инцидентов ежемесячно – от фишинга и сканирования инфраструктуры до атак на веб-приложения и несанкционированного доступа.

По результатам анализа вредоносного программного обеспечения за прошедший месяц специалисты SOC beCloud обновили сигнатуры и индикаторы компрометации (IoC), в частности были выявлены 8 вредоносных почтовых доменов, 19 скомпрометированных почтовых ящиков и 213 IP-адресов. С начала 2025 года на инфраструктуре клиентов было обнаружено и проанализировано более 300 экземпляров вредоносного программного обеспечения.

– В 2024 году инструмент gs-netcat стал одним из самых популярных среди хакеров, особенно при атаках на UNIX-подобные операционные системы, – говорит Дмитрий Пономаренко. – Он прост в использовании и позволяет незаметно получать удаленный доступ к скомпрометированным серверам без сложной настройки.

В рамках проактивного реагирования специалисты Центра кибербезопасности beCloud выявили на ресурсах клиентов Республиканской облачной платформы применение инструмента gs-netcat из набора инструментов Global Socket Toolkit.

Вредоносный код использовал домен thc[.]org, связанный с инфраструктурой TheHackerChoise – платформой, позволяющей получать удаленный доступ к скомпрометированным ресурсам, минуя средства защиты.

Экземпляр ВПО расшифровывал DNS-имена вида [a-z].thc.org и подключался к C&C-серверу через самостоятельно разработанный протокол, обеспечивая злоумышленнику удаленный доступ и полный контроль над системой. Атака носила таргетированный характер.

После обнаружения специалисты провели анализ, сформировали IoC и выдали рекомендации. Уязвимость была устранена, вредоносный код – удален. Предотвращено как минимум 8 последующих киберинцидентов с использованием данной утилиты, обеспечивающей беспрепятственный доступ к интернет-ресурсам. Также были разработаны правила для выявления подобных атак в будущем.

– Веб-приложения по-прежнему остаются популярной целью для злоумышленников, – предупреждает Юлия Гаврилович. – По оценкам исследований, проведенных экспертами Positive Technologies, 98% приложений содержат уязвимости, позволяющие киберпреступникам атаковать пользователей. В 91% случаев их эксплуатации хакеры могут завладеть важными данными, а в 84% – получить доступ к веб-ресурсу.
Мы предлагаем комплексную защиту на всех уровнях. Услуга “Сканирование веб-приложений” – имитация атаки в режиме “черного ящика”. Вы получаете объективную оценку уязвимостей и рекомендации по исправлению.

Сервис “Предотвращение утечки данных” – отслеживание попытки экспорта конфиденциальной информации и немедленная блокировка угрозы.

“Защита веб-приложений” – сканирование запросов и ответов веб-приложения клиента в режиме реального времени, их анализ на наличие потенциально вредоносного содержимого и блокировка подозрительных действий, прежде чем они достигнут приложения клиента. В основе услуги лежит технология межсетевого экрана веб-приложений (Web Application Firewall – WAF).

“Управление уязвимостями” – автоматизированное обнаружение и устранение слабых мест в ИТ-инфраструктуре.

Важно: все наши инструменты работают в аттестованном контуре республиканской платформы, что гарантирует соответствие белорусскому законодательству. 

Специалисты Центра кибербезопасности beСloud дают следующие рекомендации по “кибергигиене” информационных систем и веб-ресурсов.

Обеспечьте шифрование данных. Установите SSL-сертификаты для защиты передаваемых данных. Регулярно и вовремя передавайте SSL-сертификаты для последующей SSL-инспекции и возможности на стороне провайдера выполнять ограничение доступа к административным панелям сайта.

Логирование. Включите логирование всех операций на сайте, включая попытки входа, изменения контента и установки новых плагинов. Регулярно анализируйте журналы для выявления аномальной активности.

Используйте DNS хостинг-провайдера. При размещении информационного ресурса используйте DNS-серверы, предоставленные хостинг-провайдером.

Своевременно обновляйте программное обеспечение. Регулярно устанавливайте обновления операционных систем, серверного программного обеспечения и бизнес-приложений, CMS и модулей. Используйте только проверенные источники обновлений, чтобы избежать внедрения вредоносного кода.

Остерегайтесь фишинговых атак. Научитесь определять попытки интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролями, которые часто поступают в виде подозрительных электронных писем или сообщений с просьбой предоставить личную информацию. Проверяйте подлинность отправителя, прежде чем отвечать или нажимать на какие-либо ссылки.

Применяйте принцип минимально необходимого доступа (Zerotrust). Ограничивайте права доступа сотрудников к данным и системам. Ведите журнал действий пользователей, чтобы отслеживать изменения и инциденты. Введите временной принцип доступа – только в рабочее время. 

При необходимости доступ разрешается при осуществлении определенной процедуры с последующим подтверждением ответственных руководителей.

Будьте в теме. Оставайтесь в курсе актуальных угроз в интернете и практик обеспечения безопасности. Информированность по вопросам безопасности значительно снижает риск кибератак.

– Бизнес часто опасается нового, – отмечает Юлия Гаврилович. –  Именно поэтому мы регулярно проводим понятные обучающие онлайн- и оффлайн встречи для партнеров и сотрудников наших клиентов, показываем наглядно, как именно облако сделает их ежедневную работу проще и быстрее. Когда бизнес видит реальные плюсы для себя, опасения сменяются интересом, а интерес – продуктивной работой с нами.

Ознакомиться с нашими услугами вы можете на сайте becloud.by, а получить консультацию у специалистов – направив письмо на адрес sales@becloud.by или позвонив по телефонам +375 17 287 11 11, +375 17 287 11 49.

Размещение рекламы на БЕЛТА

Источник: www.belta.by