Угрозы изменились. Теперь они незаметны
Каждый день антивирусные компании выявляют 300,000 новых вредоносных программ. Но никто не знает, сколько их появилось на самом деле. Какая-то часть для антивирусных лабораторий остается неизвестными. Их называют 0day (англ. zero day). Пока такая программа не попадет в антивирусную лабораторию, защититься от нее невозможно.
Злоумышленники хорошо знакомы с такой особенностью антивирусов. Они делают все, чтобы их присутствие на компьютерах жертв как можно дольше оставалось для антивирусных компаний тайной. Если их выявят, то придется разрабатывать новый способ атаки и опять вступать в гонку с антивирусами, чтобы успеть заработать на своих жертвах, пока не обнаружили.
Как обогнать антивирус?
Можно придумать изощренный способ атаки
Злоумышленники создают вредоносные программы, которые используют специальные техники, помогающие избежать выявления. Иногда сложным заражениям удается оставаться в тени годами, а выявляют их случайно. Все это время они выполняют свои вредоносные функции и распространяются дальше.
Подобные угрозы называют целенаправленными атаками (APT, advanced persistent threat). Организовать такую атаку сложно, это требует очень высокой квалификации и много времени для исследований. Окупить свои расходы и заработать злоумышленники смогут лишь в том случае, если жертвой станет крупная компания или правительственная организация. Поэтому для большинства людей такие атаки не опасны.
Можно получить кратковременный выигрыш
Гораздо проще — успеть заработать, пока антивирус молчит. Это не требует высокой технической квалификации. Нужно лишь "окно" в несколько часов или дней, пока антивирусы ничего не знают о способе атаки и вредоносной программе. Не знают по той причине, что она им еще не попадалась. Или антивирусная лаборатория пока не заметила вред от ее работы.
Если какое-то новое приложение во время установки на компьютер совершит действия, похожие на работу уже известных вредоносных программ, то антивирусная компания сразу забьет тревогу. Практически мгновенно знание об атаке она распространит на всех своих пользователей и работающие на их компьютерах антивирусы начнут эту программу блокировать. Но установка нового приложения далеко не всегда вызывает подозрения.
Предположим, злоумышленники с помощью обмана или социальной инженерии вынудили пользователя самостоятельно что-то установить. Предположим, это будет бесплатное и на первый взгляд полезное приложение для скачивания музыки из социальной сети ВКонтакте.
Вместе с заявленной функцией такая программа незаметно делает что-то еще. Допустим, ставит “лайки” в социальной сети. Установленный на компьютере антивирус не может узнать, самостоятельно пользователь поставил “лайк”, или за него это сделала вредоносная программа.
Когда вредоносная программа станет распространенной и антивирусные компании наконец узнают, что она не только скачивает музыку, но и незаметно вредит, никаких проблем с дальнейшим выявлением не возникнет. Либо рано или поздно найдется какой-то общий признак с другими вредоносными программами — возможно, они делают то же самое. Но пока этого не произошло, узнать, что программа вредоносная, антивирусной лаборатории негде.
"Плохие парни" могут ограничить причиняемый вред
Чтобы выиграть время, злоумышленники могут сами ограничить число жертв. Например, атаковать небольшую группу пользователей, чтобы вредоносная программа как можно дольше не попала на анализ. Злоумышленники больше не стремятся заразить миллионы компьютеров. Это слишком быстро приведет к тому, что антивирусы начнут их обнаруживать. Они выбирают небольшие, ограниченные группы людей. Например, это могут быть пользователи социальной сети или даже какого-то одного приложения.
Другой распространенный способ — ограничить вред. Злоумышленники создают такие программы, вред от которых трудно заметить. Например, сегодня большинство антивирусов не может отследить, легитимная реклама отображается в браузере или какая-то другая. Самостоятельно пользователь написал комментарий в социальной сети, или за него это сделала программа. Сам ли он вступил в какую-то группу в социальной сети.