Еволюції вірусів, Криптографія, Security & Hack, статті

Нещодавно “Лабораторія Касперського” оприлюднила звіт про річні тенденції в розробці вірусів і боротьбі з їх авторами. За даними компанії, найбільш значущими епідеміями стали випадки поширення вірусів Mydoom.a в лютому і Sasser.a в травні. Сьогодні редакція “Веб-інформу” публікує витяги з опублікованого документа.

Ключовими факторами цього року, що вплинули на загальний розвиток ситуації, стали: криміналізація Інтернету, міграція вірусописьменників і хакерів в розробку примусових рекламних систем, а з іншого боку – Більш висока оперативність антивірусних компаній, активізація “поліцейських заходів”, які часто завершувалися затриманням винних.

Основні тенденції цього року:
1) Так звані AdWare (рекламні системи) стають однією з основних проблем комп’ютерної безпеки.
2) Поштова трафік переповнений спамом.
3) Масові успішні атаки на інтернет-банки.
4) Численні випадки інтернет-рекету (DDoS-атаки з подальшим вимаганням).
5) Антивірусні компанії змушені підключати засоби захисту від AdWare.
6) Швидкість реакції антивірусних компаній стає одним з основних критеріїв якості наданої захисту.
7) Поява численних антиспамових програм; стандартом де-факто для поштових провайдерів стає використання будь-яких подібних рішень.
8) Успішні розслідування і арешти.

Кожне покоління “письменників” шкідливих програм стоїть на плечах своїх попередників. Тому не дивно, що зародки програм 2004 року з’явилися ще в минулому році.

Вірус Lovesan “популяризував” використання проломів в операційній системі для зараження уразливих машин через Інтернет. Крім того, він включав можливість DDoS-атаки (вірус атакував сервери з оновленнями Windows). Черв’як Sobig.f побив усі попередні рекорди за допомогою використання спамерських технологій (на піку його розповсюдження кожне десяте електронного листа було заражено цим вірусом). Sobig.f також ініціював “Ланцюгову реакцію”: кожен новий варіант хробака створював мережу інфікованих комп’ютерів, яка пізніше використовувалася в якості платформи для нової епідемії.

Коли у вересні 2003 року з’явився Swen, ніщо не віщувало біди: вірус здавався ще одним засобом масової розсилки повідомлень. Проте успіх цього прийшов до нього завдяки соціальній інженерії. Swen маскувався під поновлення від Microsoft, Покликане закрити проломи в операційній системі.

Тенденції, описані вище, продовжували розвиватися і далі – і прикладом тому служать погрози, з якими зіткнулися користувачі в 2004 році.

Використання вразливостей в операційних системах для проникнення в корпоративну мережу сьогодні стало буденним явищем. Деякі віруси 2004 року, такі як Sasser, Padobot і Bobax, використовували системні уразливості як єдиний метод атаки, поширюючись через Інтернет від комп’ютера до комп’ютера, абсолютно не використовуючи при цьому “традиційні” методи. Інші шкідливі програми, серед яких можна назвати Plexus, а також незліченні варіанти Bagle, Netsky і Mydoom, поєднували в собі використання проломів в операційних системах з іншими методами зараження (наприклад, масову розсилку, а також використання мережевих ресурсів – наприклад, технології P2P).

Безліч успішних вірусів (“успішних” з точки зору автора шкідливого коду) являють собою зв’язку різних видів атак. І все більша кількість таких “зв’язок” містять в собі троянську компоненту того чи іншого типу.

Ледве відгриміло святкування нового 2004 року, як дав про себе знати троянський проксі-сервер, Mitgleider. Тисячі користувачів ICQ отримали повідомлення з посиланням, що веде на сайт, на якому перебувала ця троянська програма. Mitgleider використовував одну з двох вразливостей в Microsoft Internet Explorer, що дозволяли встановити і запустити проксі-сервер на машині без відома користувача. Потім вірус відкривав на машині один з портів, щоб отримувати і приймати пошту. В результаті мережа заражених машин стала армією “зомбі”, що розсилають спам по всьому Інтернету. Mitgleider зробив троянcкіе проксі-сервери окремої категорією шкідливих програм, дуже близькою до поширення спаму. Через це вірусу масова розсилка повідомлень і листів з посиланнями на заражені сайти також набула поширення.

Багато загрози безпеці, що послідували за Mitgleider, використовували троянську технологію. Bagle, вірус, судячи з усього, того ж авторства, що і Mitgleider, або встановлював троянський проксі-сервер, або скачував його через Інтернет. У будь-якому випадку черв’як був просто новою версією Mitgleider, який розсилав себе по e-mail. Bagle розповсюджувався з машин, раніше заражених Mitgleider. Це вказує на ще одну важливу характеристику загроз 2004 року: троянські компоненти використовувалися з метою створення платформ для подальшої епідемії. Така техніка привела до широкого поширення не тільки Bagle, але і Netsky, Mydoom, а також інших подібних черв’яків. Коли виходив черговий варіант подібного черв’яка, кількість заражених машин збільшувалася; при досягненні критичної маси відбувалася нова епідемія. Саме таким чином Mydoom досяг свого успіху, побивши навіть рекорди хробака Sobig і ставши причиною наймасштабнішої епідемії в історії Інтернету на сьогоднішній день. Черв’як застосував методи соціальної інженерії, організував атаку на сайт www.sco.com, через що він вийшов з ладу на декілька місяців, і залишав на зараженому комп’ютері троянську програму, яка використовувалася для зараження іншими версіями вірусу, зробленими за головною епідемією.

У 2004 році ми також були свідками битви між змагаються вірусописьменниками. Вірус Netsky не просто заражав комп’ютери – він також видаляв будь екземпляри вірусу Mydoom, Bagle і Mimail. На піку такий “Війни” кожен день з’являлося кілька екземплярів черв’яків Bagle і Netsky, що містили в своєму тілі погрози на адресу недругів.

Автори Bagle і Netsky також вперше використовували пароль для вкладень в листи – очевидно, для того, щоб ускладнити виявлення шкідливої ​​програми. У тілі листа містився пароль до архіву, так що у користувача були всі дані для відкриття вкладення, що містив вірус.

Техніка масової розсилки заражених листів, ефективна ще з часів вірусу Melissa в березні 1999 року, з тих пір використовувалася при розповсюдженні багатьох відомих вірусів. Однак не варто забувати про інші методи розповсюдження. Один з них ми вже обговорювали: пряме зараження з використанням проломів в операційних системах (приклади тому – Lovesan, Welchia, Sasser). Практика, що стала відомою в 2004 році, – поширення посилань, ведучих на сайт, де знаходиться шкідливий код. Троянська програма Mitgleider, про яку йшла мова раніше, не єдина розповсюджувалася таким чином: даний метод розповсюдження використовувався безліччю черв’яків.

Netsky, наприклад, поширював себе, розсилаючи листи, що містять посилання на раніше заражені машини. Схожим чином поводився Bizex, перший ICQ-черв’як. Bizex проникав на комп’ютери за допомогою ICQ, розсилаючи по всьому контактному листу користувача посилання на сайт, де містилося тіло хробака. Коли користувачі переходили по посиланню, хробак завантажувався на комп’ютер користувача і цикл повторювався. Snapper і Wallon діяли схожим чином, але завантажували на комп’ютер жертви троянські програми, які автор черв’яків поміщав на веб-сайти.

Поштові адреси з посиланнями, як і слід було очікувати, не сприймаються користувачами як загрози безпеці комп’ютера. Багато користувачів з більшою ймовірністю перейдуть по посиланню в листі, ніж відкриють вкладення. Також цей метод дозволяє ефективно обійти периметр захисту, збудований провайдерами: їх файрволли можуть блокувати вкладення з підозрілими розширеннями (. EXE,. SCR і так далі), але листи з посиланнями безперешкодно минуть цей захист. Безсумнівно, цей метод буде використовуватися і далі – до тих пір, поки користувачі не перестануть легковажно ставитися до посилань, що приходять по електронній поштою.

У “Лабораторії Касперського” також відзначили істотне збільшення кількості троянських програм-шпигунів, покликаних красти конфіденційну фінансову інформацію. Десятки нових варіантів таких програм з’являються на світ щотижня, часто розрізняючись по своїй функціональності і формі. Деякі з них просто шпигують за клавіатурою, відсилаючи паролі, введені користувачем, по електронній пошті автору троянця. Троянці з більш складною структурою являють автору повний контроль над комп’ютером жертви, посилаючи дані на віддалені сервери і отримуючи подальші команди з цих серверів.

Такий тотальний контроль над комп’ютерами часто є метою авторів троянських програм. Заражені машини включаються в мережі “ботів”, отримуючи від зловмисників команди до дії на IRC-каналах або веб-сайтах. Ще більш складні троянці, як деякі варіанти Agobot, з’єднують всі заражені машини в одну P2P-мережу. Коли така мережа ботів створена, її можна взяти в оренду для розповсюдження спаму або використовувати при DDoS-атаках (так працювали троянські компоненти Wallon, Plexus, Zafi і Mydoom).

Також зростає кількість програм, які самі по собі не є шкідливими, але залишають в системі троянську програму (TrojanDropper) або завантажують її з Інтернету (TrojanDownloader). У тих і інших одна мета: встановити на зараженій машині шкідливе програмне забезпечення, будь то вірус, черв’як або інша троянська програма. Для досягнення своєї мети вони, проте, використовують різні методи.

Програми класу TrojanDropper містять в собі додатковий шкідливий код. Вони або встановлюють іншу шкідливу програму, або оновлюють її до нової версії. Такі програми можуть містити кілька не залежать одна від одної частин шкідливого коду (з різним поведінкою, а іноді навіть різного авторства). По суті своїй, це архіватор шкідливих програм, який здатний архівувати різні види шкідливого коду. Часто програми класу TrojanDropper використовуються для поширення вже відомих троянських програм, тому що набагато простіше написати такий архіватор, ніж абсолютно нового троянця, який пройде непоміченим мимо антивіруса. Більшість програм цього класу написані на Visual Basic Script (VBS) або JavaScript (JS). Їх код достатньо простий, вони можуть виконувати різні завдання.

Вірусописьменники часто використовують програми, які завантажили троянців на комп’ютер, точно так само, як і програми з троянської компонентою. Різниця між ними в тому, що програма-завантажувач може бути набагато більш корисна для зловмисника. По-перше, завантажувачі значно менше за розміром. По-друге, такі програми можуть нескінченно завантажувати все нові й нові версії шкідливої ​​програми. Як і програми з троянської компонентою, завантажувачі часто написані на скриптових мовах, таких як VBS і JS, але на відміну від перших завантажувачі часто використовують уразливості в Microsoft Internet Explorer (IE).

Ці програми використовуються не тільки для установки іншого шкідливого коду. Їх часте застосування – в установці без відома користувача так званих adware і pornware, програм, які, не будучи вірусами, проте збирають інформацію про користувача. Adware – це програми, які відображають рекламу, іноді банери, без відома і згоди користувача. Pornware – це програми, які з’єднуються з платними порнографічними сайтами, також без відома і згоди користувача.

Використання троянських програм для крадіжки паролів, доступу до конфіденційної інформації, DDoS-атак та розповсюдження спаму виводить на перший план важливу зміну в природі загроз безпеці: їх комерціалізацію. Очевидно, що комп’ютерний андеграунд усвідомив потенціал заробітку в Мережі за допомогою власних шкідливих творінь. До цієї області дій також відноситься використання “зомбі-машин” і розпродаж зомбі-мереж на аукціонах для спамерів. Або, наприклад, вимагання, коли така ж мережа зомбі-машин використовується для показових DDoS-атак на сайт жертви (“заплати нам, або твій сайт перестане працювати, коли ми почнемо повноцінну DDoS-атаку “). На додаток до цього існує також крадіжка логінів і паролів користувачів. Варто згадати і про так званий” фішинг “- афері, що дозволяє обдурити користувачів так, щоб вони відправили зловмисникам інформацію про своїх банківських рахунках (ім’я користувача, пароль, PIN-код і т. д.).

Що день прийдешній нам готує? Швидше за все, нам належить побачити “все те ж саме, тільки більше”. До тих пір, поки техніки, описані вище, ефективні, автори шкідливих кодів будуть продовжувати їх використання. Маються на увазі перевірені вірусописьменниками методи, такі як масова розсилка і використання проломів в операційних системах для атаки вразливих комп’ютерів, а також поширення троянських програм для крадіжки інформації, створення платформ для DDoS-атак або розповсюдження спаму. У “Лабораторії Касперського” також говорять про техніки, що увійшли до вживання в цьому році, – наприклад, використання посилань на шкідливий код в листах. Ключовий фактор – у тому, що ці методи добре зарекомендували себе як серед авторів шкідливих кодів, так і серед тих, хто платить їм за створення програм для нелегального заробітку. Звичайно, творіння рук зловмисників будуть удосконалюватися, автори програм будуть додавати в них нові можливості, щоб зробити їх ще більш ефективними, і алгоритми “самозахисту” для того, щоб зробити їх виявлення і видалення більш складним. Як і в минулому, автори шкідливих програм скажуть нове слово в їх написанні. Зокрема, їх метою цілком можуть стати мобільні пристрої, які у великих кількостях використовуються як корпораціями, так і користувачами.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*