Что такое дроппер (dropper)?

Будучи служебными программами, дропперы заботятся о перезагрузке и установке самого вредоносного ПО. Киберпреступники, такие как спамеры, используют дропперы для обхода сигнатур средств защиты от вредоносных программ.

Инструменты безопасности используют сигнатуры, чтобы попытаться заблокировать или поместить в карантин вредоносный код. Злоумышленникам гораздо проще модифицировать или заменить дроппер, если его сигнатура обнаружена, чем переписывать основу реального вредоносного кода.

Дропперы, как и трояны, существуют в постоянных и непостоянных вариантах. Непостоянные дропперы выполняют свою работу: устанавливают вредоносное ПО в систему жертвы, а затем автоматически удаляют себя.

Постоянные дропперы копируют себя в скрытый файл и остаются там до тех пор, пока не выполнят намеченную задачу. Дропперы могут попасть в системы жертв разными способами:

- Через подготовленное вложение к электронной почте.

- В качестве попутной загрузки через подготовленный веб-сайт.

- По ссылке в подготовленном письме или на сайте.

- Или через подготовленный съемный носитель, например USB-накопитель.

Иногда дропперы скрываются в бесплатных утилитах, таких как блокировщики рекламы, чтобы антивирусному ПО было сложнее их обнаружить. При запуске бесплатного инструмента дроппер сначала загружает и устанавливает вредоносное ПО, а затем распаковывает и устанавливает законный инструмент.

Дропперы не могут быть связаны с расширениями файлов, что затрудняет их обнаружение. Они ведут себя аналогично троянским коням и часто используются в целевых фишинговых атаках. Хотя дропперы сами по себе являются традиционными программами, их возможности обычно предлагаются как часть пакета вредоносного ПО.

Защита от дропперов

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) рекомендует пользователям и администраторам принять следующие меры для улучшения защиты от дропперов:

- Вложения электронной почты, которые не могут быть проверены программным обеспечением безопасности, должны быть заблокированы.

- Стратегия безопасности, основанная на модели нулевого доверия.

- Реализовать принцип минимального распределения прав.

- Реализация сегментации сети для сегментирования и разделения сетей и функций.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.

ПЕНТЕСТ БЕЗОПАСНОСТЬ ВЗЛОМАЛИ? МОНИТОРИНГ СТАТЬИ ВАКАНСИИ