Słowo „bot” jest skrótem od słowa „robot”. Bot to fragment kodu, który wykonuje pewne funkcje dla swojego właściciela, który jest autorem tego kodu. Boty (bot) to rodzaj złośliwego oprogramowania zainstalowanego na tysiącach komputerów. Komputer, na którym jest zainstalowany bot, jest wywoływany zambi(zambi). Bot otrzymuje polecenia od swojego pana i zmusza zainfekowany komputer do ich wykonania. Takie polecenia mogą wysyłać spam, wirusy lub przeprowadzać ataki. Atakujący woli wykonywać takie działania przy użyciu botów niż własnego komputera, ponieważ pozwala mu to uniknąć wykrycia i identyfikacji.
Suma komputerów zombie zaatakowanych przez atakującego z zainstalowanymi botami to tzw botnet (botnet). Aby stworzyć botnet, hakerzy włamują się do tysięcy systemów, wysyłając złośliwy kod na wiele różnych sposobów: jako załączniki do wiadomości e-mail, poprzez zainfekowane strony internetowe, wysyłanie linków do złośliwych stron, załączonych do e-maili itp. Po pomyślnym zainstalowaniu na komputerze użytkownika złośliwy kod wysyła atakującemu wiadomość, że system został przejęty i jest teraz dostępny dla atakującego, który może z niego korzystać w dowolnym momencie. Na przykład może użyć stworzonego botnetu do hostowania potężnego botnetu lub wypożyczyć go spamerom. Większość komputerów należących do botnetu to komputery domowe niczego niepodejrzewających użytkowników.
Właściciel tego botnetu zdalnie kontroluje systemy, które są jego częścią, zwykle za pomocą protokołu IRC (Internet Relay Chat).
Poniżej przedstawiono podstawowe kroki tworzenia i używania botnetów:
- Haker różne sposoby wysyła do potencjalnych ofiar złośliwy kod, który zawiera oprogramowanie bota.
- Po udanej instalacji w systemie ofiary, bot nawiązuje kontakt z serwerem kontrolnym botnetu, komunikując się z nim poprzez IRC lub specjalny serwer WWW, zgodnie z tym, co jest wskazane w jego kodzie. Następnie serwer zarządzający przejmuje zarządzanie nowym botem.
- Spamer płaci hakerowi za korzystanie z systemów jego botnetu, haker wysyła odpowiednie polecenia do serwera C&C, a serwer C&C z kolei instruuje wszystkie zainfekowane systemy w botnecie, aby wysyłały spam.
Aby stworzyć botnet, jego przyszły właściciel albo robi wszystko sam, albo płaci hakerom za tworzenie i rozpowszechnianie złośliwego oprogramowania w celu infekowania systemów, które staną się częścią jego botnetu. Następnie z właścicielem botnetu skontaktują się i zapłacą ci, którzy chcą poinformować Cię o swoich nowych produktach, a także ci, którzy muszą atakować konkurentów, kraść dane osobowe lub hasła użytkowników i wiele innych.
Tradycyjne oprogramowanie antywirusowe wykorzystuje sygnatury do wykrywania złośliwego kodu. Podpisy to „odciski palców” złośliwego kodu utworzonego przez dostawcę oprogramowania antywirusowego. oprogramowanie... Podpis to fragment kodu pobrany z samego wirusa. Program antywirusowy skanuje pliki, wiadomości e-mail i inne dane przechodzące przez określone dane i porównuje je ze swoją bazą sygnatur wirusów. W przypadku znalezienia dopasowania program antywirusowy wykonuje wstępnie skonfigurowane działanie, które może wysyłać zainfekowany plik do kwarantanny, próbować „wyleczyć” plik (usunąć wirusa), wyświetlić okno ostrzegawcze dla użytkownika i / lub nagrać zdarzenie.
Wykrywanie złośliwego kodu na podstawie sygnatur
Jest skutecznym sposobem wykrywania złośliwego oprogramowania, ale występuje opóźnienie w reagowaniu na nowe zagrożenia. Po pierwszym wykryciu wirusa producent oprogramowania antywirusowego musi zbadać wirusa, opracować i przetestować nowe sygnatury, opublikować aktualizację bazy sygnatur, a wszyscy użytkownicy muszą pobrać tę aktualizację. Jeśli złośliwy kod po prostu wyśle \u200b\u200bTwoje zdjęcia do wszystkich Twoich znajomych, to opóźnienie nie jest tak krytyczne. Jeśli jednak złośliwe oprogramowanie przypomina robaka Slammer, szkody wynikające z tego opóźnienia mogą być katastrofalne.
UWAGA... Robak Slammer pojawił się w 2003 roku. Wykorzystał lukę w DBMS Microsoft SQL Server 2000, który umożliwia przeprowadzanie i powodowanie odmowy usługi. Według niektórych szacunków, Slammer spowodował szkody w wysokości ponad 1 miliarda dolarów.Ponieważ codziennie tworzone jest nowe złośliwe oprogramowanie, producentom oprogramowania antywirusowego trudno jest nadążyć. Technologia sygnatur wirusów umożliwia wykrywanie wirusów, które zostały już zidentyfikowane i dla których utworzono sygnaturę. Jednak ze względu na fakt, że twórcy wirusów są bardzo płodni i wiele wirusów może modyfikować swój kod, bardzo ważne jest, aby oprogramowanie antywirusowe miało inne mechanizmy wykrywania złośliwego kodu.
Inną metodą, której używa prawie całe oprogramowanie antywirusowe, jest wykrywanie oparte na złośliwym oprogramowaniu. analiza heurystyczna (wykrywanie heurystyczne). Ta metoda analizuje struktura ogólna złośliwy kod, ocenia instrukcje i algorytmy wykonywane przez kod, bada typy danych wykorzystywane przez złośliwy program. W ten sposób gromadzi dużą ilość informacji o fragmencie kodu i szacuje prawdopodobieństwo, że jest on złośliwy. Używa pewnego rodzaju „licznika podejrzliwości”, który zwiększa się, gdy program antywirusowy znajduje w nim nowe potencjalnie niebezpieczne (podejrzane) właściwości. Po osiągnięciu z góry określonego wartość progowa, kod jest uważany za niebezpieczny, a program antywirusowy uruchamia odpowiednie mechanizmy ochronne. Dzięki temu oprogramowanie antywirusowe może rozpoznawać nieznane złośliwe oprogramowanie, a nie tylko polegać na sygnaturach.
Rozważ następującą analogię. Ivan jest policjantem, pracuje, aby złapać złoczyńców i zamknąć ich. Jeśli Ivan ma zamiar użyć metody podpisu, porównuje stosy zdjęć z każdą osobą, którą widzi na ulicy. Kiedy widzi zapałkę, szybko łapie złego faceta i umieszcza go w swoim samochodzie patrolowym. Jeśli zamierza zastosować metodę heurystyczną, obserwuje podejrzaną aktywność. Na przykład, jeśli zobaczy mężczyznę w masce narciarskiej stojącego przed bankiem, szacuje prawdopodobieństwo, że jest to złodziej, a nie tylko zamrożony facet błagający klientów banku o zmianę.
UWAGA... Bezdyskowe stacje robocze są również podatne na wirusy, pomimo braku dysku twardego i pełnego system operacyjny... Mogą zostać zainfekowane wirusami, które pobierają się i żyją w pamięci. Takie systemy można zrestartować zdalnie (zdalny restart), aby wyczyścić pamięć i przywrócić jej pierwotny stan, tj. wirus żyje w takim systemie przez krótki czas.Niektóre produkty antywirusowe tworzą sztuczne środowisko zwane maszyną wirtualną lub piaskownicą i pozwalają niektórym podejrzanym kodom działać w chronionym środowisku. Daje to programowi antywirusowemu możliwość zobaczenia kodu w akcji, co daje znacznie więcej informacji, aby zdecydować, czy jest złośliwy, czy nie.
UWAGA... Czasami nazywana jest maszyna wirtualna lub piaskownica bufor emulacji (bufor emulacji). Jest to to samo, co chroniony segment pamięci, więc nawet jeśli kod okaże się złośliwy, system nadal pozostanie bezpieczny.Nazywa się analizę informacji o fragmencie kodu analiza statyczna jeśli część kodu jest uruchamiana maszyna wirtualna, to się nazywa analiza dynamiczna ... Obie te metody są uważane za heurystyczne metody wykrywania.
Szczepionka.Inne podejście stosowane w niektórych programach antywirusowych to tzw szczepionka(immunizacja). Produkty z tą funkcją modyfikowały pliki i obszary dysku, aby wyglądały tak, jakby były już zainfekowane. W takim przypadku wirus może zdecydować, że plik (dysk) jest już zainfekowany i nie dokona żadnych dodatkowych zmian, przechodząc do następnego pliku.
Program szczepień z reguły celuje w konkretnego wirusa, ponieważ każdy z nich inaczej sprawdza fakt zakażenia i szuka innych danych (podpisów) w pliku (na dysku). Jednak liczba wirusów i innego złośliwego oprogramowania stale rośnie, a liczba plików, które wymagają ochrony, rośnie, więc obecnie w większości przypadków podejście to nie znajduje zastosowania w praktyce, a producenci oprogramowania antywirusowego już go nie używają.W dzisiejszych czasach, nawet przy tych wszystkich wyrafinowanych i skutecznych podejściach, nie ma 100% gwarancji, że narzędzia antywirusowe będą skuteczne, ponieważ twórcy wirusów są bardzo przebiegli. To ciągła gra w kotka i myszkę, która trwa każdego dnia. Branża antywirusowa znajduje nowy sposób wykrywanie złośliwego oprogramowania, a twórcy wirusów w przyszłym tygodniu dowiedzą się, jak obejść ten nowy sposób. Zmusza to dostawców oprogramowania antywirusowego do ciągłego ulepszania inteligencji swoich produktów, a użytkownicy muszą co roku kupować nowe wersje.
Kolejny etap w ewolucji oprogramowania antywirusowego to tzw blokery behawioralne (blokada zachowania). Oprogramowanie antywirusowe oparte na zachowaniu w rzeczywistości umożliwia uruchamianie podejrzanego kodu w niezabezpieczonym systemie operacyjnym i monitoruje jego interakcje z systemem operacyjnym pod kątem podejrzanych działań. W szczególności oprogramowanie antywirusowe monitoruje następujące działania:
- Zapisywanie do plików automatycznie ładowanych podczas uruchamiania systemu lub do sekcji automatycznego uruchamiania w rejestrze systemu
- Otwieranie, usuwanie lub zmiana plików
- Dołączanie skryptów do wiadomości e-mail do wysyłania kodu wykonywalnego
- Połącz się z zasobami sieciowymi lub udostępnionymi folderami
- Zmiana logiki kodu wykonywalnego
- Twórz lub modyfikuj makra i skrypty
- Formatowanie dysku twardego lub zapisywanie w sektorze rozruchowym
Wydawałoby się, że blokery behawioralne mogą całkowicie rozwiązać wszystkie problemy związane ze złośliwym kodem, ale mają jedną wadę, która wymaga takiego monitorowania złośliwego kodu w czasie rzeczywistym, w przeciwnym razie system może nadal być zainfekowany. Ponadto ciągłe monitorowanie wymaga dużej ilości zasobów systemowych ...
UWAGA... Analiza heurystyczna i blokowanie oparte na zachowaniu są uważane za proaktywne i mogą wykrywać nowe złośliwe oprogramowanie, czasami nazywane atakami typu zero-day. Wykrywanie złośliwego oprogramowania na podstawie sygnatur nie może wykryć nowego złośliwego oprogramowania.Większość programów antywirusowych wykorzystuje kombinację wszystkich tych technologii, aby zapewnić jak największą ochronę. Wybrane rozwiązania antywirusowe przedstawiono na rysunku 9-20.
Rysunek 9-20.Dostawcy oprogramowania antywirusowego używają różnych metod wykrywania złośliwego kodu
Wszyscy jesteśmy bardzo zmęczeni e-mailami z prośbą o zakup czegoś, czego nie potrzebujemy. Takie litery są nazywane spam (spam) to niechciane wiadomości e-mail. Spam nie tylko odwraca uwagę jego odbiorców od biznesu, ale także znacznie je konsumuje wydajność sieci, a także może być źródłem dystrybucji złośliwego oprogramowania. Wiele firm korzysta z filtrów spamu na swoich serwerach pocztowych, a użytkownicy mogą konfigurować reguły filtrowania spamu w swoich klientach pocztowych. Jednak spamerzy, podobnie jak twórcy wirusów, nieustannie wymyślają nowe i sprytne sposoby ominięcia filtrów spamu.
Skuteczne rozpoznawanie spamu stało się prawdziwą nauką. Jedna z używanych metod nosi nazwę Filtrowanie bayesowskie (Filtrowanie bayesowskie). Wiele lat temu dżentelmen o nazwisku Thomas Bayes (matematyk) opracował skuteczny sposób przewidywania prawdopodobieństwa wystąpienia zdarzenia przy użyciu matematyki. Twierdzenie Bayesa pozwala określić prawdopodobieństwo wystąpienia zdarzenia w obecności tylko pośrednich dowodów (danych), które mogą być niedokładne. Koncepcyjnie nie jest to takie trudne do zrozumienia. Jeśli uderzysz głową trzy razy o ścianę z cegły i za każdym razem upadniesz, możesz dojść do wniosku, że dalsze próby przyniosą te same bolesne skutki. Bardziej interesujące jest zastosowanie tej logiki do działań, które zawierają znacznie więcej zmiennych. Na przykład, jak działa filtr antyspamowy, który nie pozwala na listy z ofertą zakupu Viagry do Ciebie, ale nie przeszkadza w dostarczaniu poczty od znajomego, który jest bardzo zainteresowany tym lekiem i pisze do Ciebie wiadomości o jego właściwościach i wpływie na organizm? Filtr Bayesa stosuje modelowanie statystyczne do słów tworzących wiadomości e-mail. Nad tymi słowami wykonywane są wzory matematyczne, które pozwalają w pełni zrozumieć ich wzajemne relacje. Filtr Bayesa przeprowadza analizę częstotliwości każdego słowa, a następnie ocenia wiadomość jako całość, aby określić, czy jest to spam, czy nie.
Taki filtr nie tylko wyszukuje słowa „Viagra”, „seks” itp., Ale sprawdza, jak często te słowa są używane iw jakiej kolejności, aby określić, czy wiadomość jest spamem. Niestety, spamerzy wiedzą, jak działają takie filtry i manipulują słowami w temacie i treści wiadomości, aby oszukać filtr antyspamowy. Dlatego możesz otrzymywać wiadomości spamowe z błędami pisowni lub słowa zawierające znaki zamiast liter. Spamerzy są bardzo zainteresowani otrzymywaniem ich wiadomości, ponieważ zarabiają na tym dużo pieniędzy.
Ochrona firm przed wieloma różnymi typami złośliwego oprogramowania wymaga czegoś więcej niż tylko oprogramowania antywirusowego. Podobnie jak w przypadku innych komponentów, należy wdrożyć i utrzymywać pewne dodatkowe administracyjne, fizyczne i techniczne zabezpieczenia i kontrole.
Firma powinna mieć odrębną politykę antywirusową, bądź też kwestie ochrony antywirusowej powinny być brane pod uwagę w ogólnej. Należy opracować rodzaje oprogramowania antywirusowego i antyspyware, które będzie wymagane do użytku w firmie, a także podstawowe parametry ich konfiguracji.
W programie powinny znajdować się informacje o atakach wirusów, zastosowanych narzędziach ochrony antywirusowej i oczekiwanym zachowaniu użytkowników. Każdy użytkownik powinien wiedzieć, co powinien zrobić i dokąd się udać, jeśli na jego komputerze zostanie znaleziony wirus. Standard powinien uwzględniać wszystkie kwestie związane z działaniami użytkownika związanymi ze złośliwym kodem, wskazywać, co użytkownik powinien robić, a czego nie wolno mu robić. W szczególności norma powinna zawierać następujące pytania:
- Oprogramowanie antywirusowe musi być zainstalowane na każdej stacji roboczej, serwerze, komunikatorze, smartfonie.
- Dla każdego z tych urządzeń należy zaimplementować metodę automatyczna aktualizacja sygnatury antywirusowe, które należy włączyć i skonfigurować na każdym urządzeniu.
- Użytkownik nie powinien mieć możliwości wyłączenia oprogramowania antywirusowego.
- Należy z wyprzedzeniem opracować i zaplanować proces usuwania wirusów, a na wypadek wykrycia złośliwego kodu należy zidentyfikować i wyznaczyć osobę kontaktową.
- Wszystko dyski zewnętrzne (Dyski USB itp.) Powinny być skanowane automatycznie.
- Pliki kopii zapasowych należy przeskanować.
- Powinien być przeprowadzany coroczny przegląd zasad i procedur antywirusowych.
- Używane oprogramowanie antywirusowe musi zapewniać ochronę przed wirusami rozruchowymi.
- Skanowanie antywirusowe musi być wykonywane niezależnie na bramie i na każdym urządzeniu.
- Skanowanie antywirusowe powinno uruchamiać się automatycznie zgodnie z harmonogramem. Nie ma potrzeby polegania na użytkownikach, którzy ręcznie inicjują skanowanie.
- Systemy krytyczne muszą być fizycznie chronione w taki sposób, aby nie można było na nich lokalnie zainstalować złośliwego oprogramowania.
Podstawowym zadaniem twórców wirusów i cyberprzestępców jest wstrzyknięcie wirusa, robaka lub konia trojańskiego do komputera ofiary lub telefon komórkowy... Cel ten osiąga się na różne sposoby, które można podzielić na dwie główne kategorie:
- socjotechnika (termin „socjotechnika” jest również używany - kalka techniczna z angielskiego „socjotechnika”);
- techniczne metody wprowadzania złośliwego kodu do zainfekowanego systemu bez wiedzy użytkownika.
Często te metody są używane jednocześnie. W tym przypadku często stosuje się specjalne środki, aby przeciwdziałać programy antywirusowe.
Inżynieria społeczna
Metody socjotechniczne zmuszają użytkownika do uruchomienia zainfekowanego pliku lub otwarcia łącza do zainfekowanej witryny w taki czy inny sposób. Metody te są wykorzystywane nie tylko przez liczne robaki pocztowe, ale także przez inne rodzaje złośliwego oprogramowania.
Zadaniem hakerów i twórców wirusów jest zwrócenie uwagi użytkownika na zainfekowany plik (lub łącze HTTP do zainfekowanego pliku), zainteresowanie użytkownika i zmuszenie go do kliknięcia pliku (lub odsyłacza do pliku). "Klasykiem gatunku" jest rewelacyjny robak pocztowy LoveLetter z maja 2000 roku, który według Computer Economics nadal pozostaje liderem pod względem strat finansowych. Komunikat, który robak wyświetlał na ekranie, wyglądał następująco:
Wiele osób zareagowało na uznanie „KOCHAM CIĘ” iw rezultacie serwery pocztowe duże firmy nie wytrzymały obciążenia - robak wysyłał swoje kopie do wszystkich kontaktów z książki adresowej przy każdym otwarciu załączonego pliku VBS.
Robak pocztowy Mydoom, który eksplodował w Internecie w styczniu 2004 roku, wykorzystywał teksty naśladujące techniczne komunikaty serwera pocztowego.
Warto również wspomnieć o robaku Swen, który podszywał się pod wiadomość od Microsoftu i podszywał się pod łatkę, która naprawia szereg nowych luk w systemie Windows (nic dziwnego, że wielu użytkowników poddało się wezwaniu do zainstalowania „kolejnej łatki od Microsoftu”).
Zdarzają się również incydenty, z których jeden miał miejsce w listopadzie 2005 r. W jednej wersji robaka Sober zgłoszono, że niemiecka policja kryminalna badała przypadki odwiedzania nielegalnych stron internetowych. List ten trafił do miłośnika dziecięcej pornografii, który wziął go za oficjalny list i posłusznie przekazał władzom.
W ostatnim czasie szczególną popularność zyskały nie pliki załączone do listu, ale linki do plików znajdujących się na zainfekowanej stronie. Do potencjalnej ofiary wysyłana jest wiadomość - pocztą, przez ICQ lub inny pager, rzadziej - przez internetowe czaty IRC (w przypadku wirusów mobilnych standardową metodą dostarczania jest SMS). Wiadomość zawiera atrakcyjny tekst, który zachęca niczego niepodejrzewającego użytkownika do kliknięcia łącza. Ta metoda penetracja komputerów ofiar jest zdecydowanie najbardziej popularna i skuteczna, ponieważ pozwala ominąć czujne filtry antywirusowe na serwerach pocztowych.
Wykorzystywane są również możliwości sieci wymiany plików (sieci P2P). Robak lub koń trojański rozprzestrzenia się w sieci P2P pod różnymi smacznymi nazwami, na przykład:
- Hasło AIM i AOL Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- emulator play station crack.exe
Szukając nowych programów, użytkownicy P2P natrafiają na te nazwy, pobierają pliki i uruchamiają je w celu wykonania.
Dość popularne jest również „okablowanie”, gdy ofiara się poślizgnęła darmowe narzędzie lub instrukcje dotyczące hakowania różnych plików systemy płatności... Na przykład oferują darmowy dostęp do internetu lub operator komórkowy, pobierz generator numerów kart kredytowych, zwiększ ilość pieniędzy w swoim osobistym portfelu internetowym itp. Oczywiście ofiary takiego oszustwa raczej nie skontaktują się z organami ścigania (w końcu sami próbowali zarobić pieniądze w oszukańczy sposób), a przestępcy internetowi wykorzystują to z dużą siłą.
Nieznany napastnik z Rosji w latach 2005-2006 zastosował nietypową metodę „okablowania”. Trojan został wysłany na adresy znalezione w witrynie job.ru, która specjalizuje się w pośrednictwie pracy i wyszukiwaniu personelu. Niektórzy z tych, którzy publikowali tam swoje CV, rzekomo otrzymali propozycję pracy z załączonym do listu plikiem, który proponowano otworzyć i zapoznać się z jego treścią. Plik był oczywiście koniem trojańskim. Ciekawe jest również to, że atak został przeprowadzony głównie na korporację adresy pocztowe... Obliczenia najwyraźniej opierały się na fakcie, że pracownicy firmy raczej nie zgłaszają źródła infekcji. I tak się stało - przez ponad pół roku specjaliści z Kaspersky Lab nie mogli uzyskać żadnych zrozumiałych informacji o sposobie przenikania trojana do komputerów użytkowników.
Zdarzają się też dość egzotyczne przypadki np. Pismo z załączonym dokumentem, w którym klient banku proszony jest o potwierdzenie (a raczej poinformowanie) swoich kodów dostępu - o wydrukowanie dokumentu, wypełnienie załączonego formularza, a następnie przefaksowanie go na wskazany w liście numer telefonu.
Inne nietypowe etui na dostawę programy szpiegujące „To home” miało miejsce w Japonii jesienią 2005 roku. Niektórzy cyberprzestępcy wysyłali płyty CD zainfekowane trojanem szpiegującym na adresy domowe (miasto, ulica, dom) klientów japońskiego banku. W tym przypadku wykorzystano informacje z wcześniej skradzionej bazy klientów tego właśnie banku.
Technologie wdrożeniowe
Technologie te są wykorzystywane przez cyberprzestępców do potajemnego wstrzykiwania złośliwego kodu do systemu, bez przyciągania uwagi właściciela komputera. Odbywa się to poprzez luki w zabezpieczeniach systemów operacyjnych i oprogramowania. Obecność luk umożliwia spreparowanie atakującego robak sieciowy lub konia trojańskiego w celu penetracji komputera ofiary i samodzielnego uruchomienia się w celu wykonania.
Luki to w rzeczywistości błędy w kodzie lub w logice różnych programów. Nowoczesne systemy operacyjne i aplikacje mają złożoną strukturę i rozbudowaną funkcjonalność i po prostu nie da się uniknąć błędów w ich projektowaniu i rozwoju. Tego właśnie używają twórcy wirusów i cyberprzestępcy.
Robaki pocztowe Nimda i Aliz wykorzystywały luki w programach pocztowych Outlook. Aby uruchomić plik robaka, wystarczyło otworzyć zainfekowaną wiadomość lub po prostu najechać na nią kursorem w oknie podglądu.
Ponadto złośliwe programy aktywnie wykorzystywały luki w składnikach sieciowych systemów operacyjnych. Do rozprzestrzeniania takich luk wykorzystano robaki CodeRed, Sasser, Slammer, Lovesan (Blaster) i wiele innych robaków działających w systemie Windows. Uderzono również w systemy Linux - robaki Ramen i Slapper przeniknęły do \u200b\u200bkomputerów przez luki w tym środowisku operacyjnym i aplikacje dla niego.
W ostatnie lata Jedną z najpopularniejszych metod infekcji jest wstrzyknięcie złośliwego kodu za pośrednictwem stron internetowych. Jednocześnie często wykorzystywane są luki w przeglądarkach internetowych. Zainfekowany plik i program skryptowy są umieszczane na stronie internetowej, która wykorzystuje lukę w przeglądarce. Gdy użytkownik wejdzie na zainfekowaną stronę, uruchamiany jest program skryptowy, który poprzez lukę pobiera zainfekowany plik na komputer i uruchamia go tam w celu wykonania. W efekcie, aby zainfekować dużą liczbę komputerów, wystarczy zwabić jak największą liczbę użytkowników na taką stronę. Osiąga się to na różne sposoby, na przykład poprzez wysyłanie spamu ze wskazaniem adresu strony, wysyłanie podobnych wiadomości przez pagery internetowe, czasem nawet wykorzystuje się do tego wyszukiwarki. Na zainfekowanej stronie umieszczany jest różnorodny tekst, który wcześniej czy później jest obliczany przez wyszukiwarki - a odsyłacz do tej strony pojawia się na liście innych stron w wynikach wyszukiwania.
Trojany, których celem jest pobieranie i uruchamianie innych trojanów, znajdują się w osobnej klasie. Zazwyczaj te trojany, które są bardzo małe, w taki czy inny sposób (na przykład wykorzystują inną lukę w systemie), są „wsuwane” na komputer ofiary, a następnie niezależnie pobierają z Internetu i instalują inne w systemie. złośliwe komponenty... Często takie trojany zmieniają ustawienia przeglądarki na najbardziej niebezpieczne, aby „ułatwić to” innym trojanom.
Stwierdzone luki w zabezpieczeniach są szybko korygowane przez firmy programistyczne, ale stale pojawiają się informacje o nowych lukach, które są natychmiast wykorzystywane przez wielu hakerów i twórców wirusów. Wiele „botów” trojańskich wykorzystuje nowe luki w zabezpieczeniach, aby zwiększyć swoją liczbę, a nowe błędy w pakiecie Microsoft Office są natychmiast wykorzystywane do wprowadzania nowych trojanów do komputerów. Jednocześnie niestety istnieje tendencja do skracania odstępu czasu między pojawieniem się informacji o kolejnej luce w zabezpieczeniach a rozpoczęciem jej wykorzystywania przez robaki i trojany. W rezultacie firmy produkujące wrażliwe oprogramowanie oraz twórcy oprogramowania antywirusowego znajdują się w sytuacji presji czasu. Ci pierwsi muszą jak najszybciej naprawić błąd, przetestować wynik (zwykle nazywany „łatą”, „łatką”) i wysłać go do użytkowników, a drugi powinien natychmiast wypuścić narzędzie do wykrywania i blokowania obiektów (plików, pakietów sieciowych) wykorzystujących lukę.
Jednoczesne wykorzystanie technologii wdrożeniowych i metod inżynierii społecznej
Dość często cyberprzestępcy używają obu metod jednocześnie. Metoda socjotechniczna polega na przyciągnięciu uwagi potencjalnej ofiary, a techniczna polega na zwiększeniu prawdopodobieństwa przedostania się zainfekowanego obiektu do systemu.
Na przykład robak pocztowy Mimail był rozpowszechniany jako załącznik do wiadomości e-mail. Aby użytkownik mógł zwrócić uwagę na list, wstawiono do niego specjalnie zaprojektowany tekst, a aby uruchomić kopię robaka z załączonego do listu archiwum ZIP, usterka w przeglądarka internetowa Poszukiwacz. W rezultacie, otwierając plik z archiwum, robak utworzył swoją kopię na dysku i uruchomił ją w celu wykonania bez żadnych ostrzeżeń systemowych ani dodatkowych działań użytkownika. Nawiasem mówiąc, ten robak był jednym z pierwszych, którego celem była kradzież danych osobowych użytkowników portfeli internetowych e-gold.
Innym przykładem jest spamowanie tematem „Cześć” i tekstem „Zobacz, co o Tobie piszą”. Po tekście znajdował się link do określonej strony internetowej. Analiza wykazała, że \u200b\u200bta strona internetowa zawiera program skryptowy, który wykorzystując inną lukę w przeglądarce Internet Explorer, pobiera trojana LdPinch na komputer użytkownika w celu kradzieży różnych haseł.
Zwalczanie programów antywirusowych
Ponieważ celem cyberprzestępców jest wstrzyknięcie złośliwego kodu do komputerów ofiar, muszą nie tylko zmusić użytkownika do uruchomienia zainfekowanego pliku lub dostać się do systemu przez jakąś lukę, ale także przedrzeć się przez zainstalowany filtr antywirusowy. Dlatego nie jest zaskakujące, że cyberprzestępcy celowo atakują programy antywirusowe. Techniki, których używają, są bardzo zróżnicowane, ale najczęściej są to:
Pakowanie i szyfrowanie kodu. Znaczna część (jeśli nie większość) nowoczesnych robaki komputerowe a trojany są w taki czy inny sposób pakowane lub szyfrowane. Ponadto podziemia komputerowe tworzą specjalnie zaprojektowane narzędzia do pakowania i szyfrowania. Na przykład absolutnie wszystkie pliki znalezione w Internecie przetworzone przez narzędzia CryptExe, Exeref, PolyCrypt i kilka innych okazały się złośliwe.
Aby wykryć takie robaki i trojany, programy antywirusowe muszą albo dodać nowe metody rozpakowywania i deszyfrowania, albo dodawać sygnatury do każdej próbki złośliwego oprogramowania, co obniża jakość wykrywania, ponieważ nie zawsze wszystkie możliwe próbki zmodyfikowanego kodu trafiają w ręce firmy antywirusowej.
Mutacja kodu. Rozcieńczenie kodu trojana za pomocą instrukcji śmieciowych. W rezultacie funkcjonalność programu trojańskiego zostaje zachowana, ale jego „ wygląd”. Od czasu do czasu zdarzają się przypadki, gdy mutacja kodu następuje w czasie rzeczywistym - za każdym razem, gdy koń trojański jest pobierany z zainfekowanej strony internetowej. Te. wszystkie lub znaczna część próbek trojanów, które docierają do komputerów z takiej witryny, jest inna. Przykładem tej technologii jest robak pocztowy Warezov, którego kilka wersji spowodowało poważne epidemie w drugiej połowie 2006 roku.
Ukrywanie swojej obecności. W trojanach powszechnie stosowane są tak zwane „technologie rootkit”. Wykonywane jest przechwytywanie i zastępowanie funkcje systemowe, dzięki czemu zainfekowany plik nie jest widoczny ani przez standardowe narzędzia systemu operacyjnego, ani przez programy antywirusowe. Czasami gałęzie rejestru, w których zarejestrowana jest kopia trojana i inne obszary systemowe komputera, są również ukryte. Technologie te są aktywnie wykorzystywane, na przykład przez trojana typu backdoor HacDef.
Zatrzymanie programu antywirusowego i systemu otrzymywania aktualizacji do antywirusowych baz danych (aktualizacje). Wiele trojanów i robaków sieciowych podejmuje specjalne działania przeciwko programom antywirusowym - wyszukują je na liście aktywnych aplikacji i próbują je zatrzymać, uszkadzają antywirusowe bazy danych, blokują aktualizacje itp. Programy antywirusowe muszą się w odpowiedni sposób chronić - monitorować integralność baz danych, ukrywać swoje procesy przed trojanami itp.
Ukrywanie kodu na stronach internetowych. Adresy stron internetowych zawierających pliki trojanów prędzej czy później stają się znane firmom antywirusowym. Oczywiście takie strony podlegają ścisłej kontroli analityków antywirusowych - zawartość strony jest okresowo pobierana, a do aktualizacji antywirusowych dodawane są nowe wersje trojanów. Aby temu przeciwdziałać, strona internetowa jest modyfikowana w specjalny sposób - jeśli żądanie pochodzi z adresu firmy antywirusowej, zamiast trojana pobierany jest plik niebędący trojanem.
Atak numeryczny. Generowanie i dystrybucja w Internecie dużej liczby nowych wersji trojanów w krótkim czasie. W rezultacie firmy antywirusowe są zalewane nowymi próbkami, których analiza wymaga czasu, co daje złośliwemu kodowi dodatkową szansę na udaną penetrację komputerów.
Te i inne metody są wykorzystywane przez podziemie komputerowe do zwalczania programów antywirusowych. Jednocześnie aktywność cyberprzestępców rośnie z roku na rok i teraz możemy mówić o prawdziwym „wyścigu technologicznym”, który rozegrał się między branżą antywirusową a wirusową. Jednocześnie rośnie liczba indywidualnych hakerów i grup przestępczych, a także ich profesjonalizm. Wszystko to razem znacznie zwiększa złożoność i ilość pracy wymaganej przez firmy antywirusowe w celu opracowania odpowiednich narzędzi ochrony.
Ponieważ celem cyberprzestępców jest wstrzyknięcie złośliwego kodu do komputerów ofiar, muszą oni nie tylko zmusić użytkownika do uruchomienia zainfekowanego pliku lub dostać się do systemu przez jakąś lukę, ale także przedrzeć się przez zainstalowany filtr antywirusowy. Dlatego cyberprzestępcy celowo walczą z programami antywirusowymi. Techniki, których używają, są bardzo zróżnicowane, ale najpowszechniejsze są następujące.
Pakowanie i szyfrowanie kodu. Większość (jeśli nie większość) współczesnych robaków komputerowych i trojanów jest pakowana lub szyfrowana w taki czy inny sposób. Ponadto specjalnie do tego celu stworzono narzędzia do pakowania i szyfrowania. Aby wykryć takie robaki i trojany, programy antywirusowe muszą dodawać nowe metody rozpakowywania i deszyfrowania lub sygnatury do każdej próbki szkodliwego oprogramowania, co obniża jakość wykrywania, ponieważ nie zawsze wszystkie możliwe próbki zmodyfikowanego kodu trafiają w ręce firmy antywirusowej.
Mutacja kodu - rozcieńczanie kodu trojana instrukcjami „śmieciowymi”. W rezultacie funkcjonalność konia trojańskiego zostaje zachowana, ale jego „wygląd” ulega znacznej zmianie. Od czasu do czasu zdarzają się przypadki, gdy mutacja kodu następuje w czasie rzeczywistym - za każdym razem, gdy koń trojański jest pobierany z zainfekowanej strony internetowej. Oznacza to, że wszystkie lub znaczna część próbek programów trojańskich, które docierają do komputerów z takiej witryny, są różne.
Ukrywanie swojej obecności - tak zwana technologia rootkit, powszechnie używany w trojanach. W takim przypadku następuje przechwycenie i podstawienie funkcji systemowych, w wyniku czego zainfekowany plik nie jest widoczny ani za pomocą standardowego systemu operacyjnego, ani przez programy antywirusowe. Czasami gałęzie rejestru, w których zarejestrowana jest kopia programu trojańskiego, oraz inne obszary systemowe komputera są również ukryte.
Zatrzymanie programu antywirusowego i systemu aktualizacji antywirusowych baz danych. Wiele trojanów i robaków sieciowych podejmuje specjalne działania przeciwko programom antywirusowym: wyszukują je na liście aktywnych aplikacji i próbują zatrzymać ich działanie, „zepsuć” antywirusowe bazy danych, blokują aktualizacje itp. Programy antywirusowe muszą chronić się w odpowiedni sposób: monitorować integralność baz danych, „ukrywać” swoje procesy przed trojanami itp.
Ukrywanie kodu na stronach internetowych. Adresy stron internetowych zawierających pliki trojanów prędzej czy później stają się znane firmom antywirusowym. Oczywiście takie strony podlegają ścisłej kontroli analityków antywirusowych: zawartość strony jest okresowo pobierana, a do aktualizacji antywirusowych dodawane są nowe wersje trojanów. Aby temu przeciwdziałać, strona internetowa jest modyfikowana w specjalny sposób: jeśli żądanie pochodzi z adresu firmy antywirusowej, zamiast trojana pobierany jest plik niebędący trojanem.
Atak numeryczny - generowanie i dystrybucja w Internecie dużej liczby nowych wersji trojanów w krótkim czasie. W rezultacie firmy antywirusowe są zalewane nowymi próbkami, których analiza wymaga czasu, co daje złośliwemu kodowi dodatkową szansę na udaną penetrację komputerów.
Te i inne metody są wykorzystywane przez hakerów do zwalczania programów antywirusowych. Jednocześnie ich aktywność rośnie z roku na rok i teraz możemy mówić o prawdziwym „wyścigu technologicznym”, który rozegrał się między branżą antywirusową i wirusową. Jednocześnie rośnie nie tylko liczba indywidualnych hakerów i grup przestępczych, ale także profesjonalizm tych ostatnich. Wszystko to znacznie zwiększa złożoność i nakład pracy wymagany przez firmy antywirusowe w celu opracowania odpowiednich narzędzi ochrony.
I zapobieganie - zapobieganie infekcjom (modyfikacjom) plików lub system operacyjny szkodliwy om.
Metody ochrony przed wirusami[ | ]
Do ochrony przed wirusami stosowane są trzy grupy metod:
- Metody oparte na analiza zawartości plików (zarówno pliki danych, jak i pliki poleceń). Ta grupa obejmuje skanowanie w poszukiwaniu sygnatur wirusów, a także sprawdzanie integralności i skanowanie w poszukiwaniu podejrzanych poleceń.
- Metody oparte na śledzenie zachowania programu podczas ich wykonywania. Metody te polegają na rejestrowaniu wszystkich zdarzeń zagrażających bezpieczeństwu systemu i występujących zarówno podczas faktycznego wykonywania testowanego obiektu, jak i podczas jego emulacji programowej.
- Metody regulacja kolejności pracy z plikami i programami. Metody te są klasyfikowane jako administracyjne środki bezpieczeństwa.
Metoda skanowania podpisu (analiza sygnatur , metoda podpisu) polega na wyszukiwaniu plików pod kątem unikalnej sekwencji bajtów - podpisyspecyficzne dla konkretnego wirusa. Dla każdego nowo wykrytego wirusa specjaliści laboratorium antywirusowego wykonują analizę, na podstawie której określana jest jego sygnatura. Powstały nowy fragment jest umieszczany w specjalnej bazie sygnatur wirusów, z którą współpracuje program antywirusowy. Godność ta metoda to stosunkowo niski odsetek fałszywych alarmów, a główną wadą jest fundamentalna niemożność wykrycia nowego wirusa w systemie, dla którego nie ma sygnatury w bazie danych programów antywirusowych, dlatego wymagana jest terminowa aktualizacja bazy sygnatur.
Metoda kontroli integralności opiera się na fakcie, że każda nieoczekiwana i nieuzasadniona zmiana danych na dysku jest podejrzanym zdarzeniem, które wymaga szczególnej uwagi systemu antywirusowego. Wirus koniecznie pozostawia ślady swojej obecności (zmiany w danych istniejących (zwłaszcza systemowych lub wykonywalnych) plików, pojawienie się nowych plików wykonywalnych itp.). Fakt zmiany danych - naruszenie integralności - łatwo zainstalować w porównaniu suma kontrolna (podsumowanie) obliczone z góry dla stan początkowy testowana pozycja oraz suma kontrolna (skrót) aktualnego stanu testowanej pozycji. Jeśli się nie pokrywają, naruszana jest integralność i istnieją wszelkie powody, aby przeprowadzić procedurę dodatkowa kontrolana przykład poprzez skanowanie w poszukiwaniu sygnatur wirusów. Metoda ta jest szybsza niż metoda skanowania sygnatur, ponieważ obliczanie sum kontrolnych wymaga mniej obliczeń niż bajtowe porównywanie nowych fragmentów, a ponadto pozwala wykryć ślady aktywności wszelkich wirusów, w tym nieznanych, dla których baza danych nie posiada jeszcze sygnatur.
Metoda skanowania w poszukiwaniu podejrzanych poleceń (skanowanie heurystyczne , metoda heurystyczna) polega na zidentyfikowaniu szeregu podejrzanych poleceń i (lub) oznak podejrzanych sekwencji tekstowych (na przykład polecenie formatowanie trudne dysku lub funkcji osadzania w działającym procesie lub pliku wykonywalnym). Następnie przyjmuje się założenie o złośliwym charakterze pliku i podejmowane są dodatkowe działania w celu jego sprawdzenia. Ta metoda ma dobrą wydajność, ale dość często nie jest w stanie wykryć nowych wirusów.
Metoda śledzenia zachowania programu zasadniczo różni się od metod skanowania zawartości plików wspomnianych wcześniej. Ta metoda opiera się na analizie zachowania uruchomione programyporównywalne do schwytania przestępcy „za rękę” na miejscu zbrodni. Narzędzia antywirusowe tego typu często wymagają aktywnego udziału użytkownika w celu podjęcia decyzji w odpowiedzi na liczne ostrzeżenia systemowe, z których duża część może następnie okazać się fałszywymi alarmami. Częstotliwość fałszywych alarmów (podejrzenie wirusa dla nieszkodliwego pliku lub brak złośliwego pliku) po przekroczeniu określonego progu sprawia, że \u200b\u200bta metoda jest nieskuteczna, a użytkownik może przestać odpowiadać na ostrzeżenia lub wybrać optymistyczną strategię (zezwolić na wykonywanie wszystkich działań przez wszystkie uruchomione programy lub wyłączyć ta funkcja narzędzie antywirusowe). Podczas korzystania z systemów antywirusowych analizujących zachowanie programów zawsze istnieje ryzyko wykonania poleceń wirusów, które mogą uszkodzić chroniony komputer lub sieć. Aby wyeliminować tę wadę, został on później opracowany metoda emulacji (imitacja), która pozwala testowanemu programowi działać w sztucznie stworzonym (wirtualnym) środowisku, które często nazywane jest piaskownica (piaskownica), bez ryzyka zniszczenia środowiska informacyjnego. Zastosowanie metod analizy zachowania oprogramowania wykazało ich wysoką skuteczność w wykrywaniu zarówno znanych, jak i nieznanych złośliwych programów.
Pseudo-antywirus [ | ]
W 2009 roku rozpoczęło się aktywne rozprzestrzenianie fałszywych antywirusów [ ] - oprogramowanie, które nie jest antywirusowe (to znaczy nie ma rzeczywistej funkcjonalności do zwalczania złośliwych programów), ale je podszywa. W rzeczywistości pseudoantywirusy mogą być zarówno programami do oszukiwania użytkowników, jak i osiągania zysków w postaci płatności za „wyleczenie systemu z wirusów”, czy też zwykłego złośliwego oprogramowania.
Specjalne antywirusy[ | ]
W listopadzie 2014 roku międzynarodowa organizacja praw człowieka Amnesty International wydał program antywirusowy Wykryć zaprojektowany do wykrywania złośliwego oprogramowania rozpowszechnianego przez agencje rządowe w celu szpiegowania działaczy obywatelskich i przeciwników politycznych. Antywirus, zdaniem twórców, przeprowadza głębsze skanowanie dysk twardyniż konwencjonalne antywirusy.
Skuteczność programu antywirusowego[ | ]
Firma analityczna Imperva, w ramach Hacker Intelligence Initiative, opublikowała interesujące badanie, które pokazuje niską skuteczność większości programów antywirusowych w rzeczywistych warunkach.
Bazując na wynikach różnych testów syntetycznych, antywirusy wykazują średnią skuteczność około 97%, ale testy te przeprowadzane są na bazach danych liczących setki tysięcy próbek, z których zdecydowana większość (może około 97%) nie jest już wykorzystywana do przeprowadzania ataków.
Pytanie brzmi, jak skuteczne są programy antywirusowe przeciwko najpilniejszym zagrożeniom. Aby odpowiedzieć na to pytanie, studenci Imperva i Uniwersytetu w Tel Awiwie uzyskali 82 próbki najnowszego złośliwego oprogramowania na rosyjskich forach podziemnych - i przetestowali je w bazie danych VirusTotal, czyli na 42 silnikach antywirusowych. Wynik był katastrofalny.
- Skuteczność programów antywirusowych przeciwko nowo kompilowanym szkodliwym programom była mniejsza niż 5%. Jest to dość logiczny wynik, ponieważ twórcy wirusów zawsze testują je w bazie danych VirusTotal.
- Od pojawienia się wirusa do początku jego rozpoznania przez programy antywirusowe mijają do czterech tygodni. Taką liczbę osiągają „elitarne” programy antywirusowe, podczas gdy inne programy antywirusowe mogą działać przez okres do 9–12 miesięcy. Na przykład na początku badania 9 lutego 2012 r. Przetestowano nową próbkę fałszywego instalatora Google Chrome... Po zakończeniu badania 17 listopada 2012 r. Wykryły go tylko 23 z 42 programów antywirusowych.
- Antywirusy o najwyższych wskaźnikach wykrywania złośliwego oprogramowania mają również wysoki współczynnik fałszywych trafień.
- Chociaż trudno nazwać badanie obiektywnym, ponieważ próbka złośliwego oprogramowania była zbyt mała, można założyć, że programy antywirusowe są całkowicie nieodpowiednie dla ostatnich cyberzagrożeń.
Klasyfikacje antywirusowe[ | ]
Programy antywirusowe są podzielone według wykonywania (środków blokujących) na:
- oprogramowanie;
- oprogramowanie i sprzęt.
Na podstawie umieszczenia w pamięć o dostępie swobodnym przeznaczyć:
- rezydent (rozpoczynają pracę wraz ze startem systemu operacyjnego, są stale w pamięci komputera i automatycznie skanują pliki);
- nierezydent (uruchamiany na wniosek użytkownika lub zgodnie z ustalonym dla niego harmonogramem).
Według rodzaju (metody) ochrony przed wirusami rozróżnia się:
Zgodnie z regulacyjnym aktem prawnym FSTEC Rosji „Wymagania w zakresie przepisów technicznych dla produktów stosowanych do ochrony informacji stanowiących tajemnicę państwową lub sklasyfikowanych jako chronione zgodnie z prawem Federacja Rosyjska inne informacje o ograniczonym dostępie (wymagania dotyczące narzędzi ochrony antywirusowej) ”(zatwierdzone zarządzeniem FSTEC Rosji z dnia 20 marca 2012 r. nr 28) wyróżnia się następujące typy narzędzi ochrony antywirusowej:
- typ „A” - narzędzia ochrony antywirusowej (elementy narzędzi ochrony antywirusowej) przeznaczone do scentralizowanego administrowania narzędziami ochrony antywirusowej zainstalowanymi na elementach systemów informatycznych (serwerach, stacjach roboczych);
- typ „B” - środki ochrony antywirusowej (składniki środków ochrony antywirusowej) przeznaczone do stosowania na serwerach systemów informatycznych;
- typ „B” - środki ochrony antywirusowej (elementy środków ochrony antywirusowej) przeznaczone do stosowania na zautomatyzowanych stacjach roboczych systemów informatycznych;
- typ „G” - środki ochrony antywirusowej (elementy środków ochrony antywirusowej) przeznaczone do stosowania w autonomicznych stacjach roboczych.
Ochrona antywirusowa typu „A” nie jest używana w programie systemy informacyjne niezależnie i są przeznaczone do użytku wyłącznie w połączeniu z narzędziami ochrony antywirusowej typu „B” i (lub) „C”.
