Icmp-флуд — то же самое, но с помощью icmp-пакетов.

[править]

Флуд прикладного уровня

Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба (сервис) — флудом подобных «больных» запросов. Например, веб-серверы уязвимы для HTTP-флуда, — для выведения веб-сервера из строя может применяться как простейшее GET /, так и сложный запрос в базу данных наподобие GET /index.php?search=<случайная строка>.

[править]

Выявление DoS-атак

Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно незаметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения DoS-атак можно разделить на несколько больших групп:

сигнатурные — основанные на качественном анализе трафика,

статистические — основанные на количественном анализе трафика,

гибридные (комбинированные) — сочетающие в себе достоинства обоих вышеназванных методов.

[править]

Защита от DoS-атак

Цитата

Но, как я уже упоминал, против DoS-атаки нельзя защититься на 100%. От самого лучшего танка ничего не останется, если в него попасть баллистической ракетой. Но сколько стоит ракета — и сколько танк.

captcha.ru[1]

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)

Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.

Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.

Наращивание ресурсов. Асолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.

Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.

Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.

Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.

Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.

Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

Фíшинг (англ. phishing МФА: ['fiʃiŋ] від fishing — рибальство) — вид шахрайства, метою якого є виманювання у довірливих або неуважних користувачів мережі персональних даних клієнтів онлайнових аукціонів, сервісів з переказування або обміну валюти, інтернет-магазинів. Шахраї використовують усілякі виверти, які найчастіше змушують користувачів самостійно розкрити конфіденційні дані - наприклад, посилаючи електронні листи із пропозиціями підтвердити реєстрацію облікового запису, що містять посилання на веб-сайт в Інтернеті, зовнішній вигляд якого повністю копіює дизайн відомих ресурсів.

Фи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание[1]) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

История

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet[2][3], хотя возможно его более раннее упоминание в хакерском журнале 2600[4].

[править]

Ранний фишинг на AOL

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам[5].

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль[6]. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку[7], и фишинг на серверах AOL постепенно сошёл на нет.

[править]

Переход к финансовым учреждениям

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября[8]. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал[9].

[править]

Фишинг сегодня

Диаграмма роста числа зафиксированных случаев фишинга

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках[10]. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку[11]. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях[12].

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей[13]: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных[14]; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте[15][16]. По оценкам специалистов, более 70 % фишинговых атак в социальных сетях — успешны[17].

Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США[18], в 2006 году — ущерб составил 2,8 млрд долларов[19], в 2007 — 3,2 миллиарда[20]; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек[19], к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов[21].

[править]

Техника фишинга

[править]

Социальная инженерия

Основная статья: Социальная инженерия

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счету …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.

[править]

Веб-ссылки

Пример фишингового письма от платёжной системы Яндекс. Деньги, где внешне подлинная веб-ссылка ведёт на фишинговый сайт

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля[22]. Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer[23], а Mozilla Firefox[24] и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге <a> значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

[править]

Обход фильтров

Фишеры часто используют изображения вместо текста, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами[25]. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу[26]. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга[27].

[править]

Веб-сайты

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки [28]. Это достигается либо путём размещения картинки с подлинным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с подлинным URL[29].

Злоумышленник может использовать уязвимости в скриптах подлинного сайта[30]. Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё, — от веб-адреса до сертификатов, выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году[31].

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах[32].

[править]

Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами[33]. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера[34][35]. В конечном счёте, человека также попросят сообщить его учётные данные[36].

Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»)[37]. Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передает их злоумышленникам[38]. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем»[39].

[править]

Борьба с фишингом

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

[править]

Обучение пользователей

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении[40].

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга[41]. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали[42], что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения[43]. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали[44].

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами[45]. Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.

[править]

Технические методы

[править]

Браузеры, предупреждающие об угрозе фишинга

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera[46][47][48][49]. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer[50].

В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере[51] и близок использованию hosts-файла для блокировки рекламы.

[править]

Усложнение процедуры авторизации

Сайт Bank of America[52][53] предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля[54][55].

[править]

Борьба с фишингом в почтовых сообщениях

Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем[56][57].

[править]

Услуги мониторинга

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов[58]. Физические лица могут помогать подобным группам[59] (например PhishTank[60]), сообщая о случаях фишинга.

[править]

Юридические меры

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток из Калифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтом AOL, и краже данных кредитных карт[61]. Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, в Бразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговых преступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США[62]. В июне 2005 года власти Великобритании осудили двух участников интернет-мошенничества[63]. В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США)[64]. Аресты продолжались в 2006 году — в ходе спецоперации ФБР задержало банду из шестнадцати участников в Европе и США[65].

В Соединённых Штатах Америки 1 марта 2005 года сенатор Патрик Лехи представил Конгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет[66]. В Великобритании был принят Закон о мошенничестве 2006 года[67], предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества[68].

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительства Австралии по обучению сотрудников правоохранительных органов борьбе с различными кибер-преступлениями, в том числе фишингом[69].

В январе 2007 года Джеффри Бретт Гудин из Калифорнии был признан виновным в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использование товарных знаков AOL, он был приговорён к 70 месяцам заключения[70][71][72][73].

В Российской Федерации первое крупное дело против банды фишеров началось в сентябре 2009 года. По самым скромным оценкам мошенники похитили около 6 миллионов рублей. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере[74]. Отдельные процессы имели место и ранее: так, в 2006 году суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Мошенник был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 миллионов рублей[75]. Но в целом правовая борьба в России ограничивается лишь незначительными судебными разбирательствами, редко оканчивающимися серьёзными приговорами.

Как считает ведущий специалист Следственного комитета при МВД по расследованию преступлений в сфере компьютерной информации и высоких технологий подполковник юстиции Игорь Яковлев, основная проблема в расследовании подобных преступлений в России заключается в недостатке специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело не только до суда, но и до обвинительного вердикта[76]. Руководитель подразделения Центра информационной безопасности ФСБ России Сергей Михайлов добавляет, что «в России самое лояльное законодательство по отношению к киберпреступности». Также плохо налажено сотрудничество с зарубежными структурами, что мешает скоординированной борьбе с преступниками[77].

Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.Содержание [убрать]

1 Классификация руткитов

2 Основные методы реализации

2.1 В Microsoft Windows

2.2 В UNIX

3 Дополнительные возможности

4 Легальные руткиты

5 Антируткиты

6 Ссылки

[править]

Классификация руткитов

По уровню привилегий

Уровня пользователя (user-mode)

Уровня ядра (kernel-mode)

По принципу действия

изменяющие алгоритмы выполнения системных функций (Modify execution path)

изменяющие системные структуры данных (Direct kernel object manipulation)

[править]

Основные методы реализации

[править]

В Microsoft Windows

В Windows из-за Windows File Protection переписывание системных файлов затруднено, поэтому основные способы внедрения в систему — модификация памяти:

перехват системных функций Windows API (API hooking) на уровне пользователя;

то же на уровне ядра (перехват Native API);

изменение системных структур данных;

модификация MBR и загрузка до ядра операционной системы — буткиты (например, BackDoor.MaosBoot).

Данный вид вредоносных кодов в среде Windows известен с начала 1990-х годов под названием стелс-вирусов.

[править]

В UNIX

реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));

реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);

основанные на модификации физической памяти ядра.

[править]

Дополнительные возможности

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие руткиты устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

[править]

Легальные руткиты

Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски. Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя[источник не указан 636 дней].

[править]

Антируткиты

Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:

Поиск расхождений

Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.

Руткит

2010/04/29 15:32:02

Руткит (Rootkit) - программа или набор программ, использующих технологии сокрытия системных объектов (файлов, процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений и пр.) посредством обхода механизмов системы.

Содержание

[убрать]

1 Руткит

2 Классификация руткитов

3 История руткитов

4 См. также

5 Ссылки

Термин руткит исторически пришел из мира Unix, где под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Это, как правило, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. Руткит позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.

В системе Windows под термином руткит принято считать программу, которая внедряется в систему и перехватывает системные функции, или производит замену системных библиотек. Перехват и модификация низкоуровневых API функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе, защищая ее от обнаружения пользователем и антивирусным ПО. Кроме того, многие руткиты могут маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие руткиты устанавливают в систему свои драйверы и сервисы (они естественно также являются «невидимыми»).

В последнее время угроза руткитов становится все более актуальной, т.к. разработчики вирусов, троянских программ и шпионского программного обеспечения начинают встраивать руткит-технологии в свои вредоносные программы. Одним из классических примеров может служить троянская программа Trojan-Spy.Win32.Qukart, которая маскирует свое присутствие в системе при помощи руткит-технологии. Ее RootKit-механизм прекрасно работает в Windows 95, 98, ME, 2000 и XP.

[править]

Классификация руткитов

Условно все руткит-технологии можно разделить на две категории:

Руткиты работающие в режиме пользователя (user-mode)

Руткиты работающие в режиме ядра (kernel-mode)

Первая категория основана на перехвате функций библиотек пользовательского режима, вторая – на установке в систему драйвера, осуществляющего перехват функций уровня ядра.

Также, руткиты можно классифицировать по принципу действия и по постоянству существования. По принципу действия:

Изменяющие алгоритмы выполнения системных функций

Изменяющие системные структуры данных

[править]

История руткитов

Говоря о руткитах, непременно упоминают этимологию термина rootkit: “root” – привилегированный администратор UNIX-системы, “kit” – набор инструментов, rootkit – набор утилит для обеспечения «привилегированного» доступа злоумышленника к системе незаметно для настоящего администратора. Такие утилиты для UNIX появились в начале 90-х гг. и существуют до сих пор, но практически не развиваются.

У Windows-руткитов был более близкий по функционалу предшественник, чем UNIX-руткиты – а именно, стелс-вирусы для DOS. Стелс-вирусы появились около 1990 года. В отличие от UNIX-руткитов, основная задача которых – впустить злоумышленника в систему и маскировать его действия, стелс-вирусы DOS, заражая файлы, просто скрывали себя от пользователя и антивирусных программ.

Windows-руткиты появились десятью годами позже стелс-вирусов, и то, что их назвали именно руткитами, а не стелс-вирусами, заслуга исключительно Грега Хогланда (Greg Hoglund). Он был одним из первых, кто реализовал технику обхода системных механизмов защиты Windows в форме утилиты, нацеленной на сокрытие информации в системе. Результаты его работы были опубликованы в электронном журнале PHRACK. Утилита, названная автором NT Rootkit, впоследствии была применена во многих вредоносных программах и по сей день вдохновляет исследователей и руткитостроителей.

Статья Хогланда датирована 1999 годом. В ней он опирается на исследования ядра Windows, опубликованные годом раньше в форумах Usenet программистом из Шри-Ланки. Еще раньше, начиная с 1995 года, Джефри Рихтер (Jeffrey Richter) в своей книге «Advanced Windows» и четвертом ее издании «Programming Applications for Microsoft Windows» раскрывает технологии перехвата системных вызовов на уровне пользователя, которые будут впоследствии использованы во многих руткитах с точностью до приведенного в книге исходного кода.

Техники перехвата системных вызовов на уровне ядра общедоступно раскрыты в двух других классических книгах по программированию: С. Шрайбер «Недокументированные возможности Windows 2000», 2001 г. (Sven Schreiber Undocumented Windows 2000 secrets) и П. Дабак и др. «Недокументированные возможности Windows NT», 1999 г. (P. Dabak et al Undocumented Windows NT). Исследования системных механизмов защиты Windows продолжились, и вслед за NT Rootkit было выпущено еще несколько утилит, позволяющих скрывать объекты в операционной системе.

В 2000 году появился he4hook - проект русского программиста. Утилита не несла в себе вредоносного функционала, но являлась инструментом для сокрытия файлов и работала в режиме ядра. Помимо этого, утилита самим автором не обозначалась как руткит.

В 2002 году на свет появился Hacker Defender (HacDef). Это также лишь инструмент, но уже более мощный – при помощи него можно скрыть любой файл, процесс или ключ реестра, параметры гибко настраиваются в файле конфигурации. Работает преимущественно в режиме пользователя.

В 2003 году появились Vanquish и Haxdoor (он же A-311 Death и в модифицированном варианте Nuclear Grabber). Vanquish - инструмент, работающий в режиме пользователя и позволяющий скрывать файлы, директории, а также ключи реестра. Кроме того, в нем уже предусмотрена вредоносная функция – логгирование паролей. Haxdoor - это уже полноценный бэкдор, работающий в режиме ядра и использующий руткит-технологии для самомаскировки.

В 2004 году выпущена FU – утилита для скрытия процессов, которая реализовала принципиально новую технологию, основанную на изменении самих системных структур, а не путей доступа к ним.

Все перечисленные руткиты являются ключевыми в истории Windows-руткитов. Особенно стоит отметить HacDef, Haxdoor и FU, широко распространявшихся "в диком виде" в связке с вредоносными программами. Руткиты этого периода (2000-2004) четко вписываются в общепринятую, но устаревшую классификацию: руткит может функционировать на уровне пользователя (user level) или на уровне ядра (kernel level), на основе модификации цепочки системных вызовов (Execution Path Modification) или на основе прямого изменения системных данных (Direct Kernel Objects Manipulation). В середине 2000-х порядка 80% всех руткитов приходилось на HacDef и Haxdoor. Первыми среди уже существовавших вредоносных программ, куда начали встраиваться руткит-технологии, были многофункциональные бэкдоры Rbot и SdBot.

Немного позже – около 2006 г. – руткит-технологии начали встраивать в популярные e-mail-черви (Bagle) и троянцы-шпионы (Goldun), еще позже появился Mailbot (Rustock), оказавшийся серьезным вызовом для антивирусных продуктов.

После длительного затишья в начале 2008 года появилась новая вредоносная программа, заражающая загрузочный сектор диска. В антивирусных базах разных производителей она именуется Sinowal, Mebroot, StealthMBR. Этот руткит, больше известный как «буткит» в силу своей «загрузочной» специфики, основан на коде концептуальной разработки eEye Bootroot (немного измененном) и представляет собой не столько самостоятельную вредоносную программу, сколько инструмент для сокрытия любого троянца.

Ботнет

[править]

Материал из Википедии — свободной энциклопедии

Ботнет (англ. botnet от robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Схема создания ботнета и использования его спамером.Содержание [убрать]

1 Техническое описание

1.1 Получение управления

1.2 Механизм самозащиты и автозапуска

1.3 Механизм управления ботнетом

2 Торговля

3 Масштабы

4 Известная атака ботнетов

5 См. также

6 Примечания

7 Ссылки

[править]

Техническое описание

[править]

Получение управления

Управление обычно получают в результате установки на компьютер невидимого необнаруживаемого пользователем в ежедневной работе программного обеспечения без ведома пользователя. Происходит обычно через:

Заражение компьютера вирусом через уязвимость в ПО (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).

Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».

Использование санкционированного доступа к компьютеру (редко).

Перебор вариантов администраторского пароля к сетевым разделяемым ресурсам (в частности, к ADMIN$, позволяющей выполнить удалённо программу) — преимущественно в локальных сетях.

[править]

Механизм самозащиты и автозапуска

Механизм защиты от удаления аналогичен большинству вирусов и руткитов, в частности:

маскировка под системный процесс;

использование нестандартных методов запуска (пути автозапуска унаследованные от старых версий ПО, подмена отладчика процессов);

использование двух самоперезапускающихся процессов, перезапускающих друг друга (такие процессы практически невозможно завершить, так как они вызывают «следующий» процесс и завершаются раньше, чем их завершают принудительно);

подмена системных файлов для самомаскировки;

перезагрузка компьютера при доступе к исполняемым файлам или ключам автозагрузки, в которых файлы прописаны.

[править]

Механизм управления ботнетом

Ранее управление производилось или «слушанием» определённой команды по определённому порту, или присутствием в IRC-чате. До момента использования программа «спит» — (возможно) размножается и ждёт команды. Получив команды от «владельца» ботнета, начинает их исполнять (один из видов деятельности). В ряде случаев по команде загружается исполняемый код (таким образом, имеется возможность «обновлять» программу и загружать модули с произвольной функциональностью). Возможно управление ботом помещением определенной команды по заранее заготовленому URL.

В настоящее время получили распространение ботнеты управляемые через веб-сайт или по принципу p2p-сетей.[1]

[править]

Торговля

Ботнеты являются объектом нелегальной торговли, при продаже передаётся пароль к IRC каналу (пароля доступа к интерфейсу программы на компьютере).

[править]

Масштабы

По оценке создателя протокола TCP/IP Винта Серфа, около четверти из 600 млн компьютеров, подключённых к Интернету, могут находиться в ботнетах.[2] Специалисты SecureWorks, изучив внутренние статистические сведения ботнета, основанного на трояне SpamThru, обнаружили, что около половины заражённых компьютеров работают под управлением операционной системы Windows XP с установленным Service Pack 2.[2]

[править]

Известная атака ботнетов

Наиболее заметной из всех видов деятельности ботнета является DDoS атака. Среди успешных (и почти успешных) атак:

DDos атака на сайт Microsoft.com (вирус MSBlast!, в один день начавший со всех заражённых машин посылать запросы на microsoft.com, привёл к простою сайта)

Серия DDoS-атак на «Живой журнал» весной 2011 года

Что такое ботнет

Итак, прежде всего, давайте разберемся, что такое ботнет или зомби-сеть.

Ботнет – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.

Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.

Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.

В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.

Использование ботнетов

Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.

Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.

Именно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, среднестатистический спамер зарабатывает 50-100 тысяч долларов в год. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.

Еще один «бонус» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.

Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.

Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании скорее выполнят требования шантажистов, чем обратятся в полицию за помощью. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.

DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.

Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.

Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.

Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.

Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.

Команды для ботов

Команды, которые выполняют боты, бывают самые разные, но, как правило, они входят в нижеприведенный список. Названия команд могут отличаться в разных реализациях ботов, но суть остается той же.

Update: загрузить и выполнить указанный исполняемый файл или модуль с указанного сервера. Эта команда является базовой, поскольку именно она реализуется в первую очередь. Она позволяет обновлять исполняемый файл бота по приказу хозяина зомби-сети, в случае если хозяин хочет установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программами (вирусами, червями), а также устанавливать другие боты на компьютер. С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в Интернете.

Flood: начать процесс создания потока ложных запросов на указанный сервер в Сети с целью вывода из строя сервера или перегрузки интернет-канала указанного сегмента глобальной Сети. Создание подобного потока может вызывать серьезные неполадки сервера, приводящие к его недоступности для обычных пользователей. Такой тип атаки с использованием ботнетов носит название DDoS-атаки. Типов различных вариантов создания ложных сетевых запросов существует очень много, поэтому мы не будем описывать их все и ограничимся лишь общим понятием.

Spam: загрузить шаблон спам-сообщения и начать рассылку спама на указанные адреса (для каждого бота выделяется своя порция адресов).

Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта функция не выделяется в отдельную команду, а сразу включается в общий функционал бота. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом.

Существуют и другие команды, однако они не входят в число наиболее популярных и поэтому реализованы лишь в отдельных ботах. Эти дополнительные команды позволяют получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя (используется для кражи аккаунтов и конфиденциальных данных), пересылать указанный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т. п.

Типы ботнетов

Классификация ботнетов сегодня достаточна проста. Она основывается на архитектуре ботнетов и протоколах, используемых для управления ботами.

Классификация ботнетов. Архитектура

До сих пор были известны лишь два типа архитектуры ботнетов.

Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.

Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.

Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.

На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.

Классификация ботнетов. Используемые сетевые протоколы

Для передачи боту команд хозяина ботнета необходимо, как минимум, установить сетевое соединение между зомби-компьютером и компьютером, передающим команду. Все сетевые взаимодействия основаны на сетевых протоколах, определяющих правила общения компьютеров в сети. Поэтому существует классификация ботнетов, основанная на используемом протоколе общения.

По типу используемых сетевых протоколов ботнеты делятся на следующие группы.

IRC-ориентированные. Это один из самых первых видов ботнетов, где управление ботами осуществлялось на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединялся с указанным в теле программы-бота IRC-сервером, заходил на определенный канал и ждал команды от своего хозяина.

IM-orientedIM-ориентированные. Не очень популярный вид ботнетов. Отличается от своих IRC-ориентированных собратьев только тем, что для передачи данных используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др. Невысокая популярность таких ботнетов обусловлена сложностями, возникающими при создании отдельного аккаунта IM-службы для каждого бота. Дело в том, что боты должны выходить в Сеть и постоянно присутствовать онлайн. Поскольку большинство IM-служб не позволяют входить в систему с разных компьютеров, используя один и тот же аккаунт, у каждого бота должен быть свой номер IM-службы. При этом владельцы IM-служб всячески препятствуют любой автоматической регистрации аккаунтов. В результате хозяева IM-ориентированных ботнетов сильно ограничены в числе имеющихся зарегистрированных аккаунтов, а значит и в числе ботов, одновременно присутствующих в Сети. Конечно, боты могут использовать один и тот же аккаунт, выходить в онлайн один раз в определенный промежуток времени, отсылать данные на номер хозяина и в течение короткого промежутка времени ожидать ответа, но это все весьма проблематично: такая сеть реагирует на команды очень медленно.

Веб-ориентированные. Относительно новая и быстро развивающаяся ветвь ботнетов, ориентированная на управление через www. Бот соединяется с определенным веб-сервером, получает с него команды и передает в ответ данные. Такие ботнеты популярны в силу относительной легкости их разработки, большого числа веб-серверов в Интернете и простоты управления через веб-интерфейс.

Другие. Кроме перечисленных выше существуют и другие виды ботнетов, которые соединяются на основе своего собственного протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.

Эволюция ботнетов

История ботнетов началась в 1998-1999 годах, когда появились первые программы поведения Backdoor - небезызвестные NetBus и BackOrifice2000. Это были концепты, т.е. программы, в которых реализованы принципиально новые технологические решения. NetBus и BackOrifice2000 впервые несли полный набор функций удаленного управления зараженным компьютером, что позволяло злоумышленникам работать с файлами на удаленном компьютере, запускать новые программы, получать снимки экрана, открывать/закрывать CD-привод и т.д.

Изначально созданные как троянские программы, бэкдоры работали без разрешения или уведомления пользователя. Для управления зараженным компьютером злоумышленник должен был сам установить соединение с каждой инфицированной машиной. Первые бэкдоры работали в локальных сетях на основе стека протоколов TCP/IP и, по сути, являлись демонстрацией вариантов использования Windows API для удаленного управления компьютером.

Клиентские программы для удаленного управления компьютерами уже в начале 2000-х могли одновременно управлять сразу несколькими машинами. Однако, в отличие от современных бэкдоров, программы NetBus и BackOrifice2000 выступали в роли сетевого сервера: они открывали определенный порт и пассивно ждали подключений хозяина (Backdoor’ы, используемые для построения ботнетов сегодня, устанавливают соединения сами).

Затем кто-то из злоумышленников придумал сделать так, чтобы зараженные бэкдорами компьютеры сами выходили на связь и их всегда можно было видеть онлайн (при условии, что они включены и работают). Скорее всего, этот «кто-то» был хакером, потому что боты нового поколения использовали традиционный для хакеров канал связи - IRC (Internet Relay Chat). Вероятно, разработку новых ботов сильно упростило то, что в самой системе IRC изначально функционировали боты с открытым исходным кодом, но не направленные на удаленное управление системой, а с другим функционалом (эти программы отвечали на запросы пользователей, например, выдавали информацию о погоде или о времени последнего появления определенного пользователя в чате).

Компьютеры, зараженные новыми ботами, стали соединяться с IRC-серверами, в качестве посетителей выходить на связь через определенный IRC-канал и ждать указаний от хозяина ботнета. Хозяин мог в любое время появиться онлайн, увидеть список ботов, отослать команды сразу всем зараженным компьютерам или отправить отдельное сообщение одной машине. Это был первый механизм реализации ботнета с централизованным управлением, позже названный C&C (Command & Control Centre).

Разработка таких ботов была несложной благодаря простоте синтаксиса протокола IRC. Для того чтобы использовать IRC-сервер, необязательно нужна специализированная клиентская программа. Достаточно иметь универсальный сетевой клиент, такой как приложение Netcat или Telnet.

О появлении IRC-ботнетов стало известно довольно быстро. Как только о них появились публикации в хакерских журналах, появились «угонщики» ботнетов люди, которые обладали, возможно, теми же знаниями, что и владельцы ботнетов, но охотились за более легкой наживой. Они искали такие IRC-каналы, где было подозрительно много посетителей, заходили на них, изучали и «угоняли» ботнет: перехватывали управление сетью, перенаправляли боты на другие, защищенные паролем, IRC-каналы и в результате получали полный единоличный контроль над «чужой» сетью зараженных машин.

Следующим этапом развития ботнетов стало перемещение центров управления во всемирную паутину. Сначала хакеры разработали средства удаленного управления сервером, которые были основаны на таких популярных скрипт-движках, как Perl и PHP, в редких случаях – ASP, JSP и нескольких других. Затем кто-то создал такое соединение компьютера в локальной сети с сервером в Интернете, которое позволяло откуда угодно управлять компьютером. Схема удаленного управления компьютером в локальной сети в обход таких средств защиты, как прокси и NAT, была опубликована в Интернете и быстро стала популярной в определенных кругах. Удаленное управление было основано на установлении HTTP-соединения с управляющим сервером с использованием локальных настроек компьютера. Если пользователь устанавливал в настройках системы адрес, порт, логин и пароль для прокси-сервера, автоматически активизировался механизм авторизации библиотеки функций для поддержки протокола HTTP (Wininet.dll). С точки зрения программиста, это было простым и доступным решением.

Полулегальные разработки средств удаленного управления, направленные на получение в обход защиты удаленного доступа к машинам в локальных сетях, дали толчок к созданию веб-ориентированных ботнетов. Чуть позже был разработан простой скрипт управления небольшой сетью компьютеров, а злоумышленники нашли способ использовать такие управляемые сети в корыстных целях.

Веб-ориентированные ботнеты оказались чрезвычайно удобным решением, которое популярно и сегодня. Множеством компьютеров можно управлять с любого устройства, имеющего доступ в Интернет, в том числе с мобильного телефона, поддерживающего WAP/GPRS, а с веб-интерфейсом способен справиться даже школьник. Дальнейшее развитие Интернета и совершенствование технологий веб-разработки также стимулировали использование веб-ботнетов.

Были попытки создать ботнеты, управляемые через каналы IM-служб. Но IM-ботнеты не получили широкого распространения, в частности потому, что они требуют регистрации номеров IM, а в условиях, когда системы защиты от автоматической регистрации аккаунтов постоянно меняются, зарегистрировать множество аккаунтов автоматически довольно сложно.

На этом эволюция ботнетов не закончилась: перебрав варианты использования протоколов, разработчики ботнетов переключились на архитектуру сети. Оказалось, что ботнет классической архитектуры (много ботов и один центр управления) чрезвычайно уязвим, так как зависит от критического узла – центра управления, при отключении которого сеть можно считать потерянной. Решения в виде одновременного заражения компьютеров разными ботами, ориентированными на разные центры управления, иногда срабатывают, но такие ботнеты гораздо сложнее поддерживать, поскольку нужно следить сразу за двумя-тремя центрами управления.

Весьма эффективными и опасными с точки зрения экспертов могут стать ботнеты с архитектурой P2P, в которых центра управления нет. Владельцу сети достаточно дать команду одной из машин, дальше боты передают команду сами. В принципе каждый компьютер в ботнете может соединиться с любым другим компьютером, входящим в ту же сеть. Эксперименты по созданию таких ботнетов проводились довольно давно, однако первый крупномасштабный ботнет на основе P2P-архитектуры появился только в 2007 году. И именно P2P-ботнеты сейчас занимают внимание исследователей информационной безопасности.

P2P-ботнеты

«Штормовой» ботнет

В 2007 году внимание исследователей информационной безопасности привлек P2P-ботнет, созданный на основе вредоносной программы, известной как Storm Worm. Авторы «штормового» червя распространяли свое детище весьма активно: по-видимому, они создали целую фабрику по созданию новых версий вредоносной программы. Начиная с января 2007 года мы ежедневно получаем 3-5 различных вариантов Storm Worm (по классификации «Лаборатории Касперского»- Email-Worm.Win32.Zhelatin).

Некоторые эксперты считают, что Storm Worm представляет собой вредоносную программу для построения зомби-сетей нового поколения. О том, что бот был разработан и распространяется профессионалами в своей области, а архитектура и защита зомби-сети хорошо продуманы, свидетельствуют следующие характеристики «штормового» ботнета:

Код бота мутирует, что напоминает полиморфные вирусы. Отличие Storm Worm состоит в том, что код, осуществляющий мутации, работает не внутри самой программы (как у полиморфиков), а на специальном компьютере в Сети. Этот механизм получил название «серверный полиморфизм» (server-side polymorphism).

Мутации происходят достаточно часто (были зафиксированы случаи мутаций раз в час) и – главное – на стороне сервера, так что обновления антивирусных баз для многих пользователей оказываются неэффективными.

Штормовой ботнет защищает свои ресурсы от слишком любопытных исследователей. Многие антивирусные компании периодически скачивают новые экземпляры червя с серверов, откуда происходит распространение вредоносной программы. Когда обнаруживаются частые обращения с одного и того же адреса, ботам дается команда начать DDoS-атаку этого адреса .

Вредоносная программа-бот старается как можно незаметнее функционировать в системе. Очевидно, что программа, которая постоянно атакует компьютер или проявляет большую сетевую активность, быстрее обращает на себя внимание и администраторов, и пользователей. Поэтому дозированная активность, которая не требует использования значительного числа компьютерных ресурсов, с точки зрения вредоносной программы наиболее безопасна.

Вместо коммуникации с центральным сервером штормовой червь связывается лишь с несколькими «соседними» компьютерами в зараженной сети, что делает задачу выявления всех зомби-машин в P2P-сети практически невыполнимой. Это принцип организации разведгруппы: каждый, кто входит в такую группу, знает только нескольких других членов группы, и провал одного агента разведки не означает, что вся группа раскрыта.

Авторы червя постоянно меняют способы его распространения. Изначально вредоносная программа распространялась как вложение в спамовые письма (в частности, под видом PDF-файлов); затем в спаме рассылались ссылки на зараженные файлы; были также попытки автоматического размещения в блогах комментариев, которые содержали ссылки на зараженные веб-страницы. И при любых способах распространения этой вредоносной программы использовались изощренные методы социальной инженерии.

Storm-ботнет принес немало проблем. Помимо массовой рассылки спама, его подозревают в участии в различных крупномасштабных DDoS-атаках по всему миру, и, по заявлениям некоторых исследователей, даже во время кибератаки на сайты эстонских правительственных учреждений в 2007 году не обошлось без участия «штормового» ботнета. То, на что потенциально способна такая сеть, вызывает неприятные ощущения у провайдеров и интернет-хостеров. Напряжения добавляет тот факт, что истинные размеры «штормового» ботнета так и остались тайной. Если другие зомби-сети, полностью или частично опирающиеся на C&C, можно увидеть целиком (в C&C виден каждый подключенный зомби-компьютер), то списка зараженных машин, входящих в «штормовой» ботнет, не видел никто из экспертов. По разным оценкам, размеры ботнета Storm Worm могли составлять от 50 тысяч до 10 миллионов зомби-машин.

К концу 2007 года Storm-ботнет как будто растаял, хотя мы по-прежнему ежедневно получаем несколько новых версий бота. Некоторые эксперты считают, что зомби-сеть распродали по частям, другие полагают, что ботнет оказался нерентабельным: его разработка и поддержка не окупались получаемой прибылью.

Mayday

Еще одним интересным, на наш взгляд, ботнетом, который технологически несколько отличается от своих предшественников, является Mayday. Такое название бот (по классификации «Лаборатории Касперского - Backdoor.Win32.Mayday) и созданная на его основе сеть получили благодаря тому, что имя домена, к которому обращалась вредоносная программа в одной из своих модификаций, включало в себя слово «mayday».

Mayday - это очередной ботнет, построенный на архитектуре P2P. После запуска бот соединяется с указанным в теле программы веб-сервером, регистрируется в его базе данных и получает список всех ботов в зараженной сети (в случае Storm Worm это была лишь часть списка). Далее бот устанавливает соединения типа «компьютер-компьютер» с другими ботами, входящими в зомби-сеть.

Нами было зарегистрировано 6 различных серверов по всему миру (в Великобритании, США, Нидерландах, Германии), с которыми связывались боты на стадии построения ботнета. К началу марта в работоспособном состоянии остался лишь один из серверов, на котором было зарегистрировано около 3 тысяч ботов (напомним, что, по самым скромным оценкам, в «штормовой» ботнет входили десятки тысяч зараженных машин). Помимо размеров сети, Mayday явно уступает своему «старшему брату» Storm в нескольких важных позициях: в Mayday-ботнете используется примитивный нешифрованный протокол общения, код вредоносной программы не подвергся специальной обработке для усложнения его анализа антивирусным ПО, и, главное, новые варианты бота выпускаются совсем не с той периодичностью, какую мы видим в случае Storm Worm. Программа Backdoor.Win32.Mayday была впервые задетектирована «Лабораторией Касперского» еще в конце ноября 2007 года, и за четыре прошедших месяца в нашу коллекцию попало чуть больше 20 различных вариантов программы.

Что касается технологических новинок, то следует отметить два нестандартных подхода, реализованных в ботнете.

Во-первых, в сети Mayday коммуникация типа «компьютер-компьютер» (P2P) изначально основана на передаче ICMP-сообщений с 32-байтной полезной нагрузкой.

Большинству пользователей протокол ICMP (Internet Control Message Protocol — межсетевой протокол управляющих сообщений) знаком по прикладной утилите PING, использующей ICMP для проверки доступности сетевого хоста. Однако основные функции протокола значительно шире. Вот что сказано об ICMP в Wikipedia: «ICMP — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и в других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции».

С помощью ICMP осуществляется проверка доступности ботов в зараженной сети и их идентификация. Поскольку бот Mayday ориентирован на работу в Windows XP SP2, после запуска он изменяет правила сетевого экрана Windows, так чтобы получение ICMP-пакетов было разрешено.

Второй и, пожалуй, основной особенностью Mayday-ботнета является его центр управления.

Для работы центров управления веб-ориентированных ботнетов используется механизм, известный как CGI (Common Gateway Interface). Изначально технологией веб-серверов была предусмотрена возможность использования исполняемых файлов в качестве реализации CGI, позже появились различные скрипт-движки. CGI-приложение генерирует в реальном времени контент запрашиваемой пользователем веб-страницы, обеспечивая выполнение программы и вывод результатов ее работы вместо статических данных с сервера. CGI-скрипт работает по аналогичной схеме, но для вывода результатов своей работы ему требуется интерпретатор – скрипт-движок. Как правило, командные центры веб-ориентированных ботнетов разрабатываются злоумышленниками с использованием скрипт-движков.

В сотрудничестве с правоохранительными органами нам удалось получить копию программы, которая работает в командном центре ботнета Mayday. Серверное ПО Mayday представляет собой цельный (без модулей) 1,2-мегабайтный исполняемый ELF-файл (Linux-аналог исполняемых EXE-файлов Microsoft Windows), не требующий наличия скрипт-движка в системе. На первый взгляд, ничего удивительного в разработке авторами Mayday CGI-приложения вместо CGI-скрипта вроде бы нет. Тем не менее, такое решение вызывает ряд вопросов.

Разработка CGI-приложения на пару порядков сложнее разработки CGI-скрипта, поскольку требует особых усилий для реализации стабильного и надежного кода. В настоящее время 99% веб-разработок ведется на основе скрипт-движков, а монолитные исполняемые CGI-программы создаются лишь в случае жесткой необходимости оптимизировать все до мелочей. Как правило, такой подход используется крупными корпорациями при разработке проектов, которые должны работать в условиях огромных нагрузок. Монолитные исполняемые CGI-программы используются, например, в таких веб-системах, как e-Bay, Paypal, Yahoo и др.

Зачем же создавался безмодульный исполняемый файл в случае ботнета Mayday? Одной из возможных причин могло быть желание разработчиков усложнить «чужакам» задачу редактирования, перенастройки и перепродажи центра управления. В любом случае анализ структуры серверного ПО Mayday дает основание предполагать, что такая серьезная разработка (код аккуратно причесан, созданная система классов универсальна) требует хорошо организованной команды разработчиков. Более того, для создания ПО Mayday-ботнета злоумышленникам, скорее всего, пришлось вести работу над двумя разными проектами: разработкой программ для Windows и для Linux.

Весной 2008 года «Лабораторией Касперского» не было зафиксировано ни одного нового образца Mayday-бота. Возможно, авторы вредоносной программы взяли таймаут, и Mayday-ботнет еще проявит себя в недалеком будущем.

Ботнет-бизнес

Ответ на вопрос, почему ботнеты продолжают развиваться и становятся все более актуальной проблемой, можно получить, оценив нынешнее состояние рынка ботнетов. Сегодня киберпреступникам, которые хотят построить ботнет, не нужны ни специальные знания, ни крупные денежные суммы. Подпольная ботнет-индустрия по сходной цене предоставляет желающим обзавестись ботнетом все необходимое: ПО, готовые сети и услуги по анонимному хостингу.

Заглянем на интернет-форумы, специализирующиеся на продаже нелегального софта и услуг, посмотрим, как работает ботнет-индустрия, обслуживающая хозяев зомби-сетей.

Первое, что необходимо для построения ботнета, – это сам бот, программа, позволяющая удаленно выполнять на компьютере пользователя некоторые действия без ведома пользователя. ПО для создания ботнета можно легко купить в Сети, найдя соответствующее объявление и обратившись к тому, кто его разместил.

Цены на боты варьируются от $5 до $1000, в зависимости от того, насколько распространен бот, детектируется ли он антивирусом, какие команды поддерживает и т.д.

Для построения простейшего веб-ориентированного ботнета необходимо иметь хостинговую площадку, где можно разместить центр управления. Любой желающий может купить такую площадку - вместе с услугами службы поддержки и возможностью анонимной работы с сервером (хостер, как правило, гарантирует недоступность файлов журнала для кого-либо, в том числе для «компетентных» органов). Объявлений, подобных приведенному ниже, на форумах в Интернете достаточно много.

Когда площадка C&C построена, необходимы зараженные ботом машины. Желающие могут купить уже готовую сеть с «чужим» установленным ботом. Поскольку случаи кражи ботнетов в среде злоумышленников не редкость, покупатели, как правило, предпочитают заменить на собственные и вредоносную программу, и центр управления, получив гарантированный контроль над зомби-сетью. Для этого боту в купленной сети дают команду скачать и запустить новый бот (с новым адресом C&C) и самоудалиться. Тем самым «чужая» программа-бот заменяется на «свою», и ботнет начинает взаимодействовать с новым центром управления. Такая «перезагрузка» ботнетов является нелишней и с точки зрения их защищенности и анонимности: «старый» C&C и «старый» бот еще до продажи вполне могут попасть в поле зрения специалистов по компьютерной безопасности.

К сожалению, построить собственный ботнет также не составляет особого труда: для этого есть специальные средства. Самые популярные из них – программные пакеты, известные как MPack, IcePack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной веб-страницы, используя уязвимости в программном обеспечении браузеров или в плагинах к ним. Такие программные пакеты называются веб-системами массового заражения или просто ExploitPack. После срабатывания эксплойта браузер покорно загружает из Сети на компьютер пользователя исполняемый файл и запускает его. Таким файлом как раз и является программа-бот, которая подключает новый зомби-компьютер в ботнет и передает управление им злоумышленнику.

К сожалению, эти средства настолько доступны, что даже подростки с легкостью их находят и пытаются заработать на перепродаже.

Любопытно, что ExploitPack изначально были разработаны русскими хакерами, однако нашли своих клиентов и в других странах. Эти вредоносные программы были локализованы (что свидетельствует об их коммерческом успехе на черном рынке) и теперь активно используются, например, в Китае.

Любая система тем популярнее и тем успешнее на киберкриминальном рынке, чем проще ее использовать. Это понимают и разработчики таких систем, поэтому для повышения популярности своих детищ и соответственно увеличения спроса на них разрабатывают простые механизмы установки и конфигурирования систем - будь то система для C&C или просто ExploitPack.

Так, например, установка командного центра, как правило, состоит из копирования файлов на сторону веб-сервера и обращения с помощью браузера к скрипту install.php. Значительно облегчает задачу наличие веб-интерфейса инсталлятора: киберпреступникам достаточно правильно заполнить поля веб-формы, чтобы командный центр был правильно сконфигурирован и начал работать.

В киберкриминальном мире хорошо известно, что рано или поздно антивирусы начнут детектировать программу-бота. Как следствие, те зараженные машины, на которых стоит антивирус, для злоумышленников будут потеряны, а скорость заражения новых компьютеров значительно снизится. Есть несколько способов, с помощью которых хозяева ботнетов пытаются сохранить свои сети. Наиболее эффективный – защита вредоносной программы от детектирования с помощью специальной обработки исполняемого кода: киберкриминальный рынок предлагает широкий выбор услуг по его шифрованию, упаковке и обфускации Таким образом, все, что необходимо для успешного существования и развития ботнетов, есть в Интернете, и остановить развитие ботнет-индустрии пока невозможно.

Заключение

На сегодняшний день ботнеты являются одним из основных источников нелегального заработка в Интернете и грозным оружием в руках злоумышленников. Ожидать, что киберпреступники откажутся от столь эффективного инструмента, не приходится, и эксперты по безопасности с тревогой смотрят в будущее, ожидая дальнейшего развития ботнет-технологий.

Опасность ботнетов усугубляется тем, что их создание и использование становится все более простой задачей, с которой в ближайшем будущем будут в состоянии справиться даже школьники. А цены на развитом и структурированном ботнет-рынке весьма умеренные.

В построении интернациональных ботнетов могут быть заинтересованы не только киберпреступники, но и государства, готовые использовать зомби-сети как инструмент политического давления. Кроме того, возможность анонимно управлять зараженными машинами вне зависимости от их географического нахождения позволяет провоцировать конфликты между государствами: достаточно организовать кибератаку на серверы одной страны с компьютеров другой.

Сети, объединяющие ресурсы десятков, сотен тысяч, а порой и миллионов зараженных машин, обладают очень опасным потенциалом, который (к счастью!) пока не использовался в полном объеме. Между тем, вся эта грозная кибермощь опирается на инфицированные компьютеры домашних пользователей. Именно они составляют подавляющее большинство зомби-машин, и именно их злоумышленники используют в своих целях.

Если вы вспомните десять своих друзей и знакомых, у которых есть компьютеры, то, скорее всего, один из них является владельцем машины, входящей в какую-либо зомби-сеть. А может быть, это именно ваш компьютер?!

Adware (англ. Ad, Advertisement — реклама и Software — программное обеспечение) — программное обеспечение, содержащее рекламу. Также, термином Adware называют вредоносное ПО, основной целью которого является показ рекламы во время работы компьютера.Содержание [убрать]

1 Основное назначение

2 Схема получения прибыли

3 Связь со шпионским ПО

4 Примеры программ

5 Способы защиты

6 См. также

7 Примечания

8 Ссылки

[править]

Основное назначение

Основным назначением деятельности по показу рекламы является получение прибыли и покрытие расходов на разработку программного обеспечения (например, конвертора видео или клиента системы мгновенных сообщений), таким образом, Adware — это неявная форма оплаты за использование программного обеспечения, осуществляющаяся за счёт показа пользователю рекламной информации.

[править]

Схема получения прибыли

Схема монетизации Adware-приложений достаточна проста. Разработчики Adware-приложений работают или с рекламными агентствами, которые в данном случае выполняют функцию посредника, или же, что бывает значительно реже, напрямую с рекламодателями.

[править]

Связь со шпионским ПО

Многие adware осуществляют действия, присущие Spyware (шпионским программам): показывают рекламные заставки, базирующиеся на результатах шпионской деятельности на компьютере, могут устанавливаться без согласия пользователя. Примеры: Exact Advertising от BargainBuddy, Gator Software от Claria Corporation (может быть установлен тайным способом, демонстрирует всплывающие окна с рекламой). Некоторые программы adware при деинсталляции не удаляют рекламный модуль. Другие действия, характерные для spyware, такие как доклад о веб-сайтах, посещаемых пользователем, происходят в фоновом режиме. Данные используются для целевого рекламного эффекта.

[править]

Примеры программ

Примером программы adware может служить официальный клиент ICQ (в отличие, например, от клиентов QIP, Miranda IM, Kopete и т. д.) или медиаконвертер MediaCoder, распространяемый по условию свободного ПО, но официальная сборка которого содержит многочисленные баннеры рекламы.

Movieland, или же Moviepass.tv или Popcorn.net — служба скачивания видео, которая была предметом тысяч жалоб за постоянную назойливую демонстрацию всплывающих окон и требований оплаты. Федеральная комиссия по торговле США собрала материалы дела по поводу жалоб на Movieland и 11 других ответчиков, обвиняемых в создании национальной схемы по использованию обмана и принуждения для взимания платежей с клиентов. Сторона обвинения утверждала, что программа «неоднократно открывает несоразмерные рекламные окна, которые не могут быть закрыты или минимизированы, сопровождаемые музыкой, звучащей около 1 минуты, и требует платежа в сумме 29,95 $ для прекращения показа всплывающих окон, а также требует, чтобы клиенты, подписавшиеся на трёхдневную бесплатную пробную версию, но не успевшие аннулировать членство до истечения пробного периода, также платили».

[править]

Способы защиты

Эффективным способом защиты от назойливой рекламы на веб-сайтах являются специальные фильтры, такие как AdBlock Plus. Подобные программы позволяют достаточно эффективно бороться с рекламой на различных порталах, размещенных в сети Интернет.

Для защиты от Adware-приложений, устанавливающихся непосредственно на компьютер пользователя можно использовать антивирусные продукты, имеющие функционал песочницы, что позволяет запустить приложение в ограниченной среде, не опасаясь за безопасность всей системы.

Drive-by загрузки. Интернет в осаде

Введение

Развитие способов распространения компьютерных вирусов и другого вредоносного ПО неразрывно связано с развитием способов передачи информации в целом. На заре компьютерной эры данные переносили с одного компьютера на другой на физических носителях. В начале 80-х информация передавалась по каналам дорогостоящих частных сетей. И лишь после того как правительство США стало оказывать давление на компании, предоставлявшие услуги сетевого доступа, с тем чтобы они унифицировали способы передачи и формат передаваемых данных, началось интенсивное развитие интернета. С его появлением как крупные, так и мелкие компании получили возможность пересылать информацию по «бесплатной» сети, чаще всего по электронной почте, в том числе и во вложенных файлах. К концу 90-х годов самые известные вредоносные программы шли в ногу со временем — они распространялись по электронной почте, нанося вред компаниям и частным пользователям по всему миру.

Тем временем Всемирная паутина быстро приобретала популярность как среда для обмена информацией, площадка для международной торговли и средство повышения эффективности работы. Постепенно все поняли, насколько удобней отправлять короткое сообщение со ссылкой на информацию (существующую в единственном экземпляре и доступную в Сети), чем рассылать по электронной почте саму информацию всем, кому она может пригодиться. И сегодня многие все еще полагают, что использование веб-браузера это практически то же, что разглядывание витрин или поход в библиотеку в реальном мире — ничто не происходит без вашего ведома (эта идея заложена в самом слове «браузер», или «обозреватель»: англ. browse — «просматривать»). Однако в процессе работы с браузером происходит много такого, о чем люди не догадываются, просто потому, что не видят этого. Не только домашние пользователи, но и большинство специалистов (конечно, не связанных со сферой информационных технологий) были бы сильно удивлены, если бы узнали, как активно происходит невидимый обмен информацией между веб-бруазером и компьютером, на котором хранятся данные, а также приложениями, установленными на нем, и веб-серверами.

К сожалению, востребованность интернета и сложность технологий, задействованных в нем, привлекли внимание хорошо организованных киберпреступников, которые стремятся максимально использовать всемирную компьютерную сеть для распространения вирусов, шпионских и троянских программ, руткитов, фальшивого ПО для защиты данных и утилит для создания бот-сетей. Метод, который предполагает загрузку вредоносного ПО с веб-сайтов без ведома пользователя, разработчики антивирусных решений называют «загрузки drive-by». В этой статье мы расскажем о том, что происходит во время drive-by атак: как пользователей завлекают на зараженные сайты, какие технологии применяются для организации атак, как с помощью загрузки drive-by злоумышленники крадут личные данные и захватывают компьютеры пользователей.

Содержание

Введение

Чем привлекательно распространение вредоносного ПО через веб

Браузер атакует

Механизм drive-by атаки

«Набор» эксплойтов

Напрасные усилия Microsoft

Заключение. Как избежать атаки

Чем привлекательно распространение вредоносного ПО через веб

Прежде чем мы приступим к изучению drive-by загрузок, было бы полезно разобраться, почему именно этот вид атаки стал таким популярным в последние годы. Важно также понять, что одно и то же вредоносное ПО (вирусы, шпионские и троянские программы, руткиты, утилиты для создания бот-сетей, фальшивое ПО для защиты данных) может распространяться и зачастую распространяется разными способами: по электронной почте, при посещении пользователем веб-страниц и другими методами.

Доставка вредоносного ПО методом drive-by загрузок привлекает киберпреступников просто потому, что представляет собой наиболее незаметную форму заражения и, соответственно, позволяет чаще добиваться успеха при проведении атаки.

Теперь, когда мы в полной мере представили себе масштаб проблемы, приступим к изучению механизмов атаки, способов привлечения пользователей на зараженные веб-сайты, сложных эксплойтов и приложений, на которые они нацелены, запутанной системы переадресации веб-запросов, а также кода, используемого для кражи личной информации и захвата пользовательских компьютеров.

Браузер атакует

Чтобы понять, насколько стремительно произошел переход к использованию веб-браузеров в качестве инструмента атаки, полезно обратиться к истории наиболее «успешных» интернет-атак на компьютеры. Во время «эры интернет-червей», когда Code Red, Blaster, Slammer и Sasser наносили непоправимый ущерб корпоративным сетям, хакеры применяли удаленные эксплойты в отношении уязвимостей операционной системы Windows (под «удаленным» понимается такой эксплойт, при котором вредоносное ПО находится на сетевом сервере, использует уязвимость в легальном коде на компьютере пользователя и не нуждается в доступе к компьютеру до момента использования уязвимости). Исполняемые вредоносные файлы, как, например, Melissa, распространялись также в виде вложений в электронных письмах, через сервисы мгновенного обмена сообщениям и клиенты одноранговых сетей.

В компании Microsoft на атаки червей среагировали должным образом. В операционную систему был встроен сетевой экран, который в Windows XP SP2 был активирован по умолчанию; было реализовано несколько механизмов для борьбы с червями. Благодаря системе автоматических обновлений Windows, конечные пользователи получили поддержку в виде регулярно устанавливаемых патчей для ОС. Многие пользователи, как корпоративные, так и домашние, тоже осознали, что необходимо с осторожностью обращаться с вложениями электронной почты и нельзя запускать незнакомые приложения. Оба эти фактора вынудили злоумышленников изменить тактику — заставили их сконцентрироваться на стороннем ПО и совершенствоваться в искусстве социальной инженерии.

Это спровоцировало появление новой «скрытой» технологии — drive-by загрузки, использующей браузер для соединения с серверами, на которых хранятся эксплойты. При drive-by атаке вредоносная программа автоматически загружается на компьютер без вашего ведома и согласия. Атака осуществляется в два этапа. Сначала пользователь попадает на сайт, содержащий код, который перенаправляет запрос на сторонний сервер, на котором хранится эксплойт.

На рис. 2 показана общая схема атаки с использованием drive-by загрузки (источник: Google Anti-Malware Team). Эксплойты, используемые при drive-by атаках, могут быть нацелены на уязвимости веб-браузера, его незащищенные встраиваемые модули (плагины), уязвимости элементов управления ActiveX или бреши в защите стороннего ПО.

Рисунок 2 — Схема атаки с использованием drive-by загрузки

Как показано на рисунке, прежде чем эксплойт будет загружен, может произойти любое количество переадресаций на другие сайты.

Согласно данным «Лаборатории Касперского» и других компаний, занимающихся вопросами компьютерной безопасности, мы переживаем широкомасштабную эпидемию drive-by загрузок. За последние десять месяцев Google Anti-Malware Team проанализировала миллиарды страниц в поисках вредоносной активности и обнаружила более трех миллионов URL-адресов, по которым хранились эксплойты, использующие drive-by загрузку.

«Гораздо более тревожным фактом является то, что приблизительно 1,3% поисковых запросов в Google дает по меньшей мере один URL-адрес, помеченный как «опасный» на странице результатов поиска», — сообщается в исследовании, опубликованном Google.

Рис. 3, взятый из этого исследования, демонстрирует в рамках изучаемого периода тревожную тенденцию: процент зараженных сайтов в результатах поисковых запросов постоянно увеличивается.

Рисунок 3 — Результаты поисков, содержащих вредоносный URL

Первое время злоумышленники, применявшие drive-by загрузки, создавали вредоносные сайты и, чтобы привлечь на них посетителей, использовали социальную инженерию. Такие web-страницы до сих пор остаются важнейшим источником вредоносной сетевой активности. Однако в последнее время хакеры стали заражать вполне законопослушные сайты, размещая на них скриптовые эксплойты или код для переадресации запросов, что позволяет им незаметно для пользователя запускать атаки через браузер.

Механизм drive-by атаки

Один получивший широкую огласку случай заражения сайта, произошедший в 2007 году, дает представление о том, как организуются drive-by атаки. За несколько недель до проведения Суперкубка Национальной футбольной лиги США сайт стадиона Miami’s Dolphin был взломан, и на нем был размещен фрагмент JavaScript кода (см. рис. 4).

Рисунок 4 — JavaScript код на сайте стадиона Miami’s Dolphin

При посещении пользователем этого сайта браузер компьютера, на котором не был установлен необходимый патч, осуществлял скрытое подключение к удаленному стороннему серверу, который пытался воспользоваться уязвимостью, описанной компанией Microsoft в бюллетенях по безопасности MS06-014 и MS07-004. В случае успешной атаки на компьютере незаметно для пользователя устанавливалась троянская программа, что предоставляло злоумышленникам полный контроль над зараженным компьютером. Впоследствии они получали доступ к конфиденциальным данным на таком компьютере и возможность осуществлять с него DoS-атаки.

В том же 2007 году, но несколько позже, сайт «Bank of India», отличающийся высоким уровнем посещаемости, подвергся сложной хакерской атаке, в которой использовались многочисленные переадресации на сервер, содержащий почтового червя, два руткита, два троянца-загрузчика и три троянца-бэкдора. Метод заражения сайта включал в себя механизм обфускации с использованием JavaScript, большое количество iFrame-переадресаций и fast-flux технологий для того, чтобы избежать обнаружения и обеспечить доступность вредоносного интернет-сервера во время атаки. На рис. 5 представлен скриншот взломанного сайта «Bank of India», на котором виден также вредоносный скрипт, использовавшийся для запуска атаки методом drive-by загрузки.

Рисунок 5 — Сайт «Bank of India» и вредоносный код

Это только два из множества примеров, которые наглядно демонстрируют масштабы рассматриваемой проблемы для легальных веб-сайтов. Компания ScanSafe опубликовала результаты своего исследования веб-угроз, где сообщалось, что к середине 2008 года подавляющее большинство вредоносного ПО размещалось на легитимных сайтах. Ниже приведены наиболее интересные данные из отчета ScanSafe за третий квартал 2008 года:

в третьем квартале 2008 года объем вредоносного ПО, распространяемого через интернет, вырос по отношению к первому кварталу того же года на 338% и на 553% в сравнении с четвертым кварталом 2007 года;

в сентябре 2008 года приблизительно 31% всех связанных с вредоносным ПО угроз были zero-day угрозами (то есть защита от них на тот момент еще не была создана);

по сравнению с январем 2008 года в сентябре 2008 года количество бэкдоров и троянцев, ворующих пароли, выросло на 267%.

Злоумышленники использовали также подмену данных на сторонних рекламных серверах для переадресации пользователей Windows на серверы мошенников, откуда происходила drive-by загрузка. Такая «вредоносная реклама» работает обычно с использованием flash-технологий и использует уязвимости в приложениях, установленных на пользовательских компьютерах.

Наборы эксплойтов (exploit kits)

Наборы эксплойтов служат «локомотивом» drive-by загрузок. По сути это совокупность программных компонентов, написанных профессионалами и хранящихся на сервере с СУБД. В состав таких наборов, которые продаются на нелегальных хакерских сайтах, входят эксплойты, использующие уязвимости в целом ряде популярных пользовательских приложений, в числе которых медиа-проигрыватель QuickTime, Adobe Flash Player, Adobe Reader, RealPlayer и программа-архиватор WinZip.

Злоумышленники, крадущие конфиденциальную информацию, и другие вирусописатели приобретают «набор» эксплойтов и устанавливают его на вредоносном сервере.

Используются также эксплойты, предназначенные для атак на конкретные браузеры: Internet Explorer, Firefox, Apple Safari и Opera. Существуют также специализированные наборы эксплойтов, рассчитанных на атаки с использованием уязвимостей Adobe PDF или известных брешей в защите кода элементов управления ActiveX.

Злоумышленники, специализирующиеся на краже конфиденциальной информации пользователей, и другие вирусописатели приобретают наборы эксплойтов и устанавливают их на вредоносном сервере. Код, предназначенный для переадресации соединений на такой сервер, размещается на веб-сайте, куда посетители заманиваются с помощью спам-объявлений, распространяемых по электронной почте или размещаемых на доске объявлений в Сети.

Сервер, на котором размещены наборы эксплойтов, может использовать данные из заголовка HTTP-запроса браузера посетителя для того, чтобы определить тип браузера, его версию, а также используемую операционную систему. Как только операционная система жертвы определена, активируется соответствующий эксплойт из набора.

В некоторых случаях могут быть активированы одновременно несколько эксплойтов, пытающихся заразить компьютер, используя уязвимости в приложениях сторонних производителей. Некоторые наиболее сложные наборы эксплойтов поддерживаются в актуальном состоянии и даже ежемесячно обновляются. Такие наборы поставляются с продуманным пользовательским интерфейсом, содержащим подробный отчет об успешных атаках, включающий, например, версию операционной системы компьютера-жертвы, место его нахождения, использованный эксплойт и эффективность эксплойтов, определяемую по объему трафика к вредоносному сайту.

В таблице 6 приведен список эксплойтов, содержащихся в одном из таких наборов, обнаруженном во время атаки с использованием JavaScript-переадресации. Этот пример доказывает популярность эксплойтов для программных продуктов Microsoft. В то же время для того чтобы увеличить ценность такого набора для киберпреступников, используются и эксплойты для ПО других производителей. Эксплойт Бюллетень по безопасности Microsoft (если есть)

MDAC remote code execution MS06-014

ShockwaveFlash.ShockwaveFlash.9 exploit

WebViewFolderIcon setSlice() exploit MS06-057

Msdds.dll exploit MS05-052

Microsoft Works exploit MS08-052

Creative Software AutoUpdate Engine exploit

Online Media Technologies NCTsoft NCTAudioFile2 ActiveX buffer overflow

Ourgame GLWorld GLIEDown2.dll exploit

DirectAnimation.PathControl buffer overflow MS06-067

Рисунок 6 — состав одного из «наборов» эксплойтов

Монокультура без обновлений

Эпидемию drive-by загрузок связывают преимущественно с тем, что на многих компьютерах не установлены обновления Windows. За редким исключением, большинство эксплойтов использует известные уязвимости, патчи для которых доступны. Тем не менее по ряду причин конечные пользователи не спешат устанавливать необходимые обновления.За небольшим исключением эксплойты используют те уязвимости, которые уже известны, и «заплаты» для которых доступны

Microsoft предлагает конечным пользователям возможность устанавливать обновления автоматически, закрывая таким образом обнаруженные уязвимости, чего нельзя сказать о производителях сторонних приложений. По оценке Secunia — компании, занимающейся исследованием уязвимостей программного обеспечения, — около трети установленных на компьютере приложений содержат известные уязвимости, для которых уже выпущены патчи.

В существующих наборах можно найти несколько эксплойтов, нацеленных на довольно старые уязвимости, такие как MS06-014 и MS05-052, которые остаются незакрытыми на многих компьютерах на протяжении нескольких лет после того, как опубликовано исправляющее их обновление (третий и четвертый символы означают год выпуска бюллетеня по безопасности). Например, эксплойты, «специализирующиеся» только на уязвимостях Adobe PDF Reader, до сих пор успешно используются, несмотря на значительные улучшения в системе обновлений Adobe. Другой популярной мишенью является Adobe Flash Player, установленный практически на всех подключенных к интернету компьютерах, равно как и RealPlayer (разработанный компанией RealNetworks).

Заключение. Как избежать атаки

В заключение необходимо отметить, что в современных веб-браузерах, в том числе Internet Explorer, Firefox и Opera, пользователь предупреждается о возможной опасности при попытке посетить зараженный веб-сайт. Такая система полезна, но поскольку в ее основе лежат черные списки, она не может гарантировать 100%-ную защиту для активного пользователя интернета.

Наиболее действенным подходом к защите от drive-by загрузок является своевременная и полная установка выпускаемых производителями ПО обновлений. В особенности, пользователю стоит:

Использовать специальные решения для управления патчами, которые помогают находить и устанавливать обновления для всех сторонних приложений. Secunia предлагает сразу два таких инструмента: Personal Software Inspector и Network Security Inspector. Они помогают определить приложения, для которых обновления еще не установлены.

Пользоваться веб-браузерами, обеспечивающими блокирование фишинговых и вредоносных сайтов (Internet Explorer, Mozilla Firefox и Opera).

Активировать сетевой экран и установить все обновления операционной системы от Microsoft. Избегать использования пиратского ПО, чье обновление будет запрещено сервисом WGA (Windows Genuine Advantage).

Установить антивирусное ПО и поддерживать антивирусные базы в актуальном состоянии. При этом важно, чтобы антивирусный продукт проверял интернет-трафик, что позволит вовремя обнаружить попытки проведения атаки методом drive-by загрузки.

Эти меры, направленные на решение проблемы уязвимостей программного обеспечения, по-прежнему остаются лучшим, наиболее эффективным средством защиты против атак с использованием drive-by загрузок.

malwarebytes' Anti-Malware

[править]

Материал из Википедии — свободной энциклопедии Malwarebytes' Anti-Malware

Тип

Антивирусное программное обеспечение

Разработчик

Malwarebytes

Операционная система

Microsoft Windows

Язык интерфейса

Многоязычный (38 языковых пакетов)

Последняя версия