В сборнике материалов конференции «Автоматизированные системы управления и информационные технологии», том 2, 2024 года была представлена инновационная работа российской научной группы, выполнявшейся в рамках программы стратегического академического лидерства «Приоритет 2030». Проект, воплотивший современные подходы к противодействию компьютерным угрозам, демонстрирует новый уровень безопасности для пользователей и организаций, сталкивающихся с опасностью утечки данных.
Современные стилеры: угроза цифровой эпохи
Вредоносные программы-стилеры (от английского stealer – похититель) давно завоевали репутацию одних из самых изощрённых средств кражи личной и корпоративной информации. Эти вирусы способны собирать пароли, логины, банковские данные, документы, а также другие критически важные сведения, хранящиеся на вашем компьютере. Нередко стилеры действуют в составе целых кибератак: на первом этапе они собирают максимальный объём информации, а затем киберпреступники применяют полученные данные для доступа к корпоративным системам или облачным сервисам.
Пути распространения стилеров чрезвычайно разнообразны: письма с вредоносными вложениями, поддельные сайты, агрессивная спам-реклама и даже скачивание программ-чистов для игр или пиратских утилит. Под угрозой оказываются не только рядовые пользователи, но и крупные предприятия, так как полученная информация часто используется для целевых атак или совершения мошенничества.
Lumma Stealer: невидимка среди вирусов
Особую опасность в последние годы представляет Lumma Stealer — вредоносная программа, активно эксплуатируемая кибермошенниками по всему миру. Её коварство заключается в оригинальном способе маскировки: файл получает двойное расширение, например, pdf.exe, что сбивает с толку даже продвинутых пользователей. Чаще всего Lumma рассылается через сайты-конвертеры файлов. Пользователь загружает, например, документ Word, ожидая получить PDF, однако на выходе ему предлагается файл вида document.pdf.exe, в котором прячется вирус.
После запуска такой программы Lumma Stealer незаметно внедряется в операционную систему, маскируется и переходит к активной фазе кражи данных. Использование уникального метода под названием Hollowing Injection позволяет вирусу скрываться под легальными системными процессами Windows, что значительно затрудняет его обнаружение даже для современных антивирусных решений.
YARA: универсальный инструмент для экспертной защиты
Столкнувшись с недостаточной эффективностью традиционных антивирусных программ против подобных угроз, специалисты все чаще используют YARA — гибкую систему создания правил распознавания вредоносных файлов. YARA не представляет собой самостоятельного ПО-антивируса, а компонуется как язык, на котором специалисты пишут наборы уникальных кодов-правил для поиска характерных признаков вредоносных программ.
С помощью YARA можно создавать индивидуальные шаблоны, которые детально подходят под профиль угрозы, адаптируясь под новые разновидности вирусов. Это существенно увеличивает шанс на своевременное выявление неизвестных ранее модификаций вредоносов.
Вклад Пермского Политеха: уникальные алгоритмы для борьбы с Lumma Stealer
Ученые Пермского Политеха, среди которых Дарья Тарутина и Андрей Кокоулин, продемонстрировали блестящий результат, разработав специализированные правила YARA для эффективного выявления вирулентных вариантов Lumma Stealer. Научная группа скрупулёзно исследовала характерное поведение этого вредоноса, включая анализ его взаимодействия с системой, попыток скрытия и использования особых техник заражения.
Дарья Тарутина, магистрант направления «Автоматика и телемеханика», поясняет: методика ориентирована не на статическое сравнение кода, а на изучение конкретных действий вируса — какие процессы он инициирует, с какими файлами работает, как пытается замаскировать активность. Такой подход позволяет выявлять даже те версии вредоносного ПО, которые были модифицированы или дополнительно зашифрованы для обхода традиционных защитных средств.
Кроме анализа поведения, большое внимание уделяется сигнатурам — своеобразным «отпечаткам» программ, уникальным последовательностям строк или байтов, что добавляет дополнительный уровень надежности проверки.
Практические результаты и преимущества инновации
Разработанные правила YARA были протестированы на обширной выборке — 192 файла, среди которых 94 содержали вредоносы семейства Lumma. Точные условия анализа позволили добиться впечатляющей эффективности: 93% заражённых элементов были своевременно обнаружены по уникальным признакам. Как отмечает Андрей Кокоулин, доцент и кандидат технических наук, подобная методика превосходит традиционные антивирусные решения по скорости реагирования и гибкости.
Интеграция YARA-правил в антивирусные платформы и системы мониторинга существенно упрощает решение задачи раннего выявления и локализации угроз. Организации могут самостоятельно создавать и обновлять свои наборы правил, быстро реагируя на появление новых разновидностей вирусов, что критично в быстро эволюционирующей киберсреде.
Открытость подхода играет на руку специалистам по ИБ: разработка и настройка правил не требует длительного ожидания обновлений баз данных от производителей антивирусов, а значит, дает свободу и оперативность в борьбе против киберугроз.
Будущее без страха: перспективы и возможности
Разработка команды Пермского Политеха — яркий пример того, как научный подход, современные IT-технологии и инициативность молодых специалистов способны радикально повысить цифровую безопасность общества. Внедрение таких решений позволяет значительно опережать злоумышленников и дает уверенность пользователям всех уровней — от домашних до корпоративных.
В динамично изменяющемся мире киберугроз успехи отечественных исследователей дают все основания для оптимизма: инновационные методы обнаружения вредоносного ПО помогают формировать новую культуру цифровой осведомлённости и устойчивости. Более того, адаптивность YARA-правил гарантирует дальнейшее развитие и совершенствование систем защиты, предоставляя каждому пользователю простые, но мощные инструменты противодействия современным кибервирусам.
Таким образом, синергия глубокого анализа, программных инноваций и открытых технологий становится залогом надёжного и безопасного будущего в цифровом пространстве.
Источник: naked-science.ru
