Недавно стало известно о массовом распространении вредоносного программного обеспечения AVrecon, поразившего десятки тысяч SOHO-маршрутизаторов в 163 странах. Как сообщается в зарубежных СМИ, злоумышленники используют заражённые устройства в качестве скрытых прокси-серверов, формируя теневую сеть для проведения атак типа password spraying и credential stuffing. Однако новости о вредоносных программах редко ограничиваются одной страной.
Как отметил ведущий инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко, эпидемия AVrecon разрушает иллюзию неприступного сетевого периметра.
«Эпидемия малвари AVrecon, поразившая десятки тысяч SOHO-маршрутизаторов в 163 странах мира, все больше ставит под сомнение иллюзию неприступного сетевого периметра, превращая корпоративные роутеры в скрытые прокси-серверы и впоследствии формируя из них гигантскую теневую сеть для проведения масштабных атак типа password spraying и credential stuffing.
Для корпоративной инфраструктуры это означает, что вредоносный трафик идеально мимикрирует под легитимные запросы с обычных корпоративных IP-адресов, с лёгкостью обходя статически настроенные «чёрные списки» и традиционные средства защиты информации. В итоге, когда пограничные корпоративные устройства становятся «марионетками» в руках злоумышленников, то вопрос команды специалистов ИБ состоит уже не в том, попытаются ли вашу компанию и её устройства взломать, а в том, насколько быстро вы сможете распознать вредоносную аномалию в потоке трафика, исходящего от заражённых сетевых устройств в вашей инфраструктуре», — объясняет эксперт.
Он отметил, что противостоять угрозам такого типа при помощи классических настроек роутеров и встроенных в них статических методов выявления угроз практически невозможно — инфраструктуре требуется тотальная наблюдаемость, глубокая поведенческая аналитика и своевременность обнаружения аномалий.
Одним из наиболее эффективных подходов в текущих реалиях эксперт назвал проактивную защиту и «проверку боем» — моделирование атак в тестовой среде с помощью решений класса Breach and Attack Simulation (BAS), такие как BAS SimuStrike. Автоматизированный киберполигон позволяет убедиться, способны ли текущие настройки безопасности отразить реальный вектор атаки.
Для исключения самой возможности закрепления вредоносного ПО на сетевых узлах компании, добавил Максим Федосенко, необходим непрерывный контроль конфигураций, правил межсетевого экрана и уязвимостей ИТ-инфраструктуры до того, как их начнут эксплуатировать хакеры.
