Nowa propozycja Trend Micro jest najbardziej wszechstronnym rozwiązaniem w swojej klasie. Deep Discovery zostało opracowane po to, aby pomagać firmom w zwalczaniu rosnącego zagrożenia ze strony APT. Rozwiązanie to posiada nie tylko narzędzia do wykrywania ataków w dniu zero, podejrzanej aktywności na obszarze całej sieci oraz ataków w każdej ich fazie, lecz daje też możliwość przeprowadzenia dogłębnych analiz, które pomogą w zapobieganiu podobnym atakom w przyszłości.  

Jak atakują

Wymierzone w Google i inne firmy ataki Operation Aurora, Night Dragon, LURID, a nawet wyciek danych RSA dowodzą, że zaawansowane, ciągłe zagrożenia (APT) są wystarczająco precyzyjne i dyskretne, aby poradzić sobie z konwencjonalnymi zabezpieczeniami. Kolejne fazy to infiltracja sieci, rozprzestrzenianie złośliwego oprogramowania w całej sieci organizacji, a wreszcie namierzenie i kradzież danych – przez cały ten czas komunikacja z serwerem nadzorującym oraz kontrola dostępu znajdują się w rękach hakerów zarządzających nimi zdalnie. Deep Discovery różni się od innych zabezpieczeń, ponieważ skupia się na niebezpiecznych treściach, podejrzanej komunikacji oraz zachowaniu użytkowników sieci, zapewniając firmom największe szanse na wykrycie i powstrzymanie ataków APT.

Jak działa

• Zawartość: rozwiązanie oparte jest na architekturze Smart Protection Network firmy Trend Micro, zapewniającej niezrównaną skuteczność w wykrywaniu ataków w dniu zero oraz w namierzaniu złośliwego oprogramowania z bardzo niskim odsetkiem fałszywych alarmów. Aktualnie system skanuje ponad 45 mld plików dziennie.


• Komunikacja: Deep Discovery korzysta również z katalogów reputacji oraz z czarnych list tworzonych przez Smart Protection Network, aby wykrywać i blokować kanały zarządzania i kontroli wykorzystywane przez hakerów do komunikacji ze złośliwym oprogramowaniem, które przedostało się do sieci organizacji.


• Aktywność: dzięki skrupulatnym badaniom analitycy firmy Trend Micro zdołali sformułować listę aktywności i sposobów zachowania towarzyszących typowym atakom APT (takich, jak wielokrotne błędy w logowaniu i odciąganie danych), co pozwala Deep Discovery na identyfikowanie potencjalnych włamań.

Dziś firmy i instytucje nie potrzebują jedynie narzędzi do wykrywania zagrożeń, które zapewnią im doraźną ochronę, potrzebują również danych i analiz, umożliwiających powstrzymywanie i zapobieganie atakom, lecz również dających możliwość przeciwdziałania atakom APT w przyszłości.

Co umożliwia

• prowadzenie symulacji i analiz w trybie sandbox, pozwalających użytkownikom na skontrolowanie dowolnego nowoodkrytego złośliwego oprogramowania – dzięki temu można dowiedzieć się z kim i w jakim celu dany element usiłuje się połączyć.


• dostęp do portalu informacyjnego Threat Connect, będącego źródłem informacji na temat konkretnych ataków.


• integrację z wiodącymi platformami SIEM, dzięki czemu ważne dane na temat zagrożeń mogą być eksportowane i poddawane analizom w jednym miejscu.

Eksperci z Sophos przeanalizowali 100 000 komputerów Apple, na których zainstalowane było darmowe oprogramowanie antywirusowe, i odkryli, że jedna na pięć maszyn ma co najmniej jedną odmianę malware dla Windowsa. Mimo że złośliwe oprogramowanie przeznaczone do infekowania systemu Microsoft jest nieszkodliwe na Macu (chyba że na komputerze zainstalowano także Windowsa), może  rozprzestrzeniać się na inne komputery. Co więcej, analiza Sophos pokazuje, że na 2.7% komputerów z logiem jabłka znaleziono malware na system Mac OS X. 

"Niektórzy użytkownicy Maca mogą poczuć ulgę, ponieważ istnieje siedem razy większe prawdopodobieństwo, że na ich komputerze znajdują się wirusy, trojany czy spyware przeznaczone na Windowsa. Niemniej jednak Malware na Maca jest zaskakująco często spotykany," powiedział Graham Cluley, starszy konsultant ds. technologii w Sophos. "To najwyższy czas, aby użytkownicy komputerów Mac zdali sobie sprawę z rosnącego problemu malware.”

Najnowszy botnet Flashback, który dotknął ponad 600 000 użytkowników, i ataki fałszywych antywirusów wyłudzających dane o kartach kredytowych, stoją na szczycie listy zagrożeń na platformie Mac.

Lista najczęściej spotykanego malware na platformę Mac OS X (7-dniowa obserwacja 100 000 komputerów Mac):

"Malware na Maca może rozprzestrzeniać się poprzez pamięć USB, załączniki email lub strony internetowe," kontynuował Cluley. "Komputery Mac to łatwe cele dla cyberprzestępców, ponieważ ich właściciele rzadko korzystają z oprogramowania antywirusowego oraz uważa się, że mają wyższy poziom dochodu rozporządzalnego niż typowy użytkownik systemu Windows. Użytkownicy komputerów Mac muszą zacząć chronić swoje maszyny teraz. W przeciwnym razie istnieje ryzyko, że problem złośliwego oprogramowania na Macu dorówna poziomowi malware na komputerach wyposażonych w system Windows."

Jeden na pięciu użytkowników komputerów Mac, który pobrał oprogramowanie antywirusowe i przeskanował swój system odnalazł złośliwe oprogramowanie dla Windowsa:

Lista najczęściej spotykanego malware na platformę Windows (7-dniowa obserwacja 100 000 komputerów Mac):

Niektóre złośliwe programy odkryte przez Sophos na 100 000 komputerów Mac pochodzą z 2007 roku i byłyby bardzo łatwe do wykrycia, gdyby użytkownicy zainstalowali oprogramowanie antywirusowe wcześniej.

"Prawda jest taka, że możesz przeskanować swojego Maca nie ruszając się z fotela. Test jest bezbolesny i darmowy; wystarczy pobrać program antywirusowy i pozwolić mu na sprawdzenie bezpieczeństwa twojego komputera," dodał Cluley.

Użytkownicy domowi mogą pobrać darmową wersję oprogramowania Sophos Anti-Virus for Mac ze strony.

Więcej informacji o zagrożeniach na platformę Mac i Windows znajduje się na blogu Sophos Naked Security pod adresem: http://nakedsecurity.sophos.com.

„Użytkownicy komputerów firmy Apple będą musieli przyswoić tę trudną lekcję i pogodzić się z tym, że żaden system operacyjny nie gwarantuje całkowitego bezpieczeństwa. Będą musieli też nauczyć się zasad bezpieczeństwa, które użytkownicy Windows uważają za normę, aby uniknąć strat spowodowanych przez następną epidemię oprogramowania złośliwego oprogramowania wymierzonego w Maki” – mówi Rik Ferguson, Dyrektor ds. badań nad bezpieczeństwem i komunikacji w regionie EMEA w firmie Trend Micro.

• W przeszłości komputery Mac nie były tak często atakowane przez cyberprzestępców z prostej przyczyny: nie były celem wartym uwagi. Podczas premiery systemu Mac OS X w 2001 roku udział komputerów Mac w rynku był tak znikomy, że przestępcom nie opłacało się atakować tego systemu – swoją uwagę skupiali oni głównie na systemie Windows. 

Koniec z pewnością na Maku

Teraz ktoś z cyberprzestępczego podziemia pokazał, że branie na celownik Maca jest możliwe (i że przynosi zyski) - najprawdopodobniej już niedługo dojdzie do kolejnych zamaskowanych ataków.

„Prawdę mówiąc jest to zaawansowany proces, który trwa już od jakiegoś czasu. Zanim pojawiły się doniesienia o zagrożeniu o nazwie Flashback, wykryliśmy ataki na konkretne cele, wymierzone również w komputery Mac. Chwilę później eksperci zatrudnieni w Trend Micro natknęli się na nowe zagrożenie - rodzinę złośliwego oprogramowania SAPPAB, która wykorzystuje albo tą samą lukę co Flashback, albo inne słabości występujące wyłącznie w Microsoft Office w wersji na Mac (zagrożenia oznaczamy jako OSX_SABPAB.A, a zainfekowany dokument Office jako TROJ_MDROP.SBPAB)” – podkreśla Rick Fergusson.

Apple: jest co poprawiać

Komputery Mac stają się atrakcyjnym celem, co stawia Apple przed koniecznością radzenia sobie z tą nową sytuacją i skutecznego reagowania na zagrożenia. To, co działo się w tej kwestii do tej pory, nie napawa optymizmem.Luka w zabezpieczeniach, którą wykorzystał Flashback, nie była nieznana przed wybuchem epidemii tego trojana. Co więcej, w wersji Java dla Windows została ona naprawiona przy pomocy łatki wydanej jeszcze w lutym. Ponieważ Apple prowadzi dystrybucję własnej wersji Javy, ta sama łatka nie została udostępniona użytkownikom Maków - aż do momentu, w którym rozpoczęła się epidemia. Na podstawie doświadczeń z trojanem Flashback można wysnuć wniosek, że cyberprzestępcy będą czekać na kolejne aktualizacje Javy (najbliższa ma miejsce w maju - firma Oracle przeprowadza regularne aktualizacje raz na kwartał) i szukać błędów, które można wykorzystać również na komputerach Mac. Jeżeli reakcja firmy Apple będzie równie ospała jak w przypadku poprzedniego patcha, powtórka z ataku trojana Flashback stanie się znacznie bardziej prawdopodobna. Poza tym, Apple mógłby wykorzystać ostatnie doświadczenia, aby ulepszyć współpracę z branżą bezpieczeństwa. Wstępna odpowiedź firmy na informacje o Flashbacku spotkała się z krytyką wielu osób – jasne jest, że Apple nie posiada doświadczenia innych firm (takich jak np. Microsoft) zarówno jeśli chodzi o kontakty z producentami zabezpieczeń, jak i reagowanie na pojawienie się zagrożeń.

• Z drugiej strony nie powinno się  jednak zrzucać całej winy za klęskę z wydaniem patcha na firmę Apple. Istotna jest kwestia oprogramowania oraz wtyczek firm trzecich, na które użytkownicy powinni zwrócić baczną uwagę i dbać o ich aktualizacje – dokładnie tak, jak ma to miejsce w społeczności użytkowników systemów Windows.

Złośliwe oprogramowanie atakujące Maki istnieje i zagrożenie z pewnością nie zniknie. Zarówno użytkownicy jak i producent będą musieli przystosować się do tej nowej sytuacji, żeby chronić nie tylko siebie, lecz również całą platformę.