Эксперты исследовали способы сокрытия деятельности хакеров

Компания Damballa опубликовала отчет, проливающий свет на деятельность киберпреступников. Эксперты объяснили, как киберпреступникам удается оставаться необнаруженными в течение долгого времени.

Специалисты в течение восьми месяцев изучали дроппер Pony, оснащенный средствами для сокрытия деятельности киберпреступников. Как выяснилось, хакеры использовали лишь несколько IP-адресов на каждого провайдера. Подобная осторожность позволяла злоумышленникам дольше оставаться незамеченными.

За период наблюдения хакеры использовали 281 домен и более 120 IP-адресов, принадлежащих 100 различным провайдерам. В сезон отпусков и зимних праздников соотношение доменов к IP-адресам резко увеличивалось.

Хакеры также изменяли вид вредоносного ПО, загружаемого с помощью дроппера. В мае 2015 года Pony распространял банковский троян Dyre, но уже через четыре месяца дроппер загружал на компьютеры жертв Vawtrak.

Исследователи также изучили способы сокрытия деятельности хакеров от правоохранителей и ИБ-экспертов на примере трояна Destover. Как выяснилось, при инфицировании ПК вредоносом злоумышленники используют две утилиты setMFT и afSET, позволяющие избежать обнаружения и расширить вектор атаки. В результате троян становится сложнее обнаружить – в большинстве случаев специалисты не могут обнаружить ни троян, ни дополнительное ПО.