Оригинал взят у
infowatch в
Кто в теремочке живёт?Вредоносные программы маскируются, а обычные - нет. Честной программе нечего скрывать? Отнюдь!
Как известно, разные компьютеры обладают очень разной ценностью для злоумышленников. Достаточно посмотреть на цены чёрного рынка по "загрузкам" троянов.
Попав на новый компьютер, агент ботнета часто пытается определить, что установлено на этой машине, для чего она используется, какая информация тут есть. Пока эти модули разведки не очень развиты. Они умеют видеть самые примитивные вещи: известные типы банковских клиентов, кошельки Биткоин,
оплаченный Скайп, ещё кое-что ликвидное. Например, зараженные компьютеры с клиент-банком не идут в общий ботнет, а собираются и продаются отдельно - поштучно, а не тысячами.
Очевидно, вредоносные программы постепенно научатся детектировать и другое. Например, что данный компьютер используется для управления сетью. Или что он расположен в государственном учреждении. Или что принадлежит руководителю предприятия. Доступ к таким машинам ботоводы также станут продавать отдельно, специализированным жуликам.
А пока имеет смысл подумать о контрмерах в отношении тех программ и данных, которые уже детектируются малварью. Ведь мы знаем, что оборона
должна быть эшелонированной. Если троян всё-таки проник на наш компьютер, ему надо создать дальнейшие сложности - затруднить автоматический поиск наших данных. Чтоб не понял своими алгоритмическими мозгами, где у нас лежит бухгалтерия, где банк-клиент, где онлайновая игрушка с прокачанным персонажем.
Приёмы маскировки установленных программ достаточно разработаны вирмейкерами. Этим опытом должны воспользоваться белые шляпы.