Эксперт отметила, что атака на интернет-кафе в Корее показывает, что злоумышленник хорошо разбирается в устройстве программ, которые используются для управления такими заведениями. Он использовал Gh0st RAT, чтобы получить полный удалённый доступ к компьютерам, и при этом не просто установил его напрямую, а сначала «вживил» специальный код в память запущенных легитимных процессов. Это делается для того, чтобы обойти антивирусы, — такие вмешательства труднее обнаружить, особенно если не происходит прямой записи на диск.
«Интересен способ внедрения, — заметила Едемская, — ВПО находит нужный процесс, сравнивает его структуру с заранее подготовленным шаблоном, а потом в реальном времени меняет его память. Также была произведена подмена исполняемого файла cmd.exe в системной папке, что позволило запускать вредоносный код при определённых действиях, как будто это часть обычной работы программы. Выбор майнера T-Rex тоже не случаен — он позволяет использовать мощные видеокарты, которые часто стоят в интернет-кафе для игр, и добывать криптовалюту максимально эффективно».
Инженер-аналитик предупредила: владельцам интернет-кафе и другим организациям с подобной инфраструктурой стоит обратить внимание на защиту от атак, которые происходят прямо в памяти, без следов на диске. «Стандартные антивирусы здесь часто не справляются, поэтому особенно полезны системы, способные анализировать поведение пользователей и процессов в динамике. В этом контексте эффективным решением может стать Ankey ASAP от компании "Газинформсервис" — программный комплекс расширенной аналитики событий и инцидентов ИБ с поддержкой UEBA, который помогает выявлять отклонения в действиях пользователей и приложений, в том числе те, что характерны для скрытых атак с использованием RAT и майнеров», — подчеркнула специалист.
