ИБ Лк Вирусы и Анитвирусы - ч1
.pdf
Вредоносное ПО, методы и средства для борьбы с ним ч1
Чтобы понять суть данного явления нужно вспомнить, что собой представляют современные компьютеры и ИТ-инфраструктура в целом. Вообще, компьютером можно назвать любое программируемое устройство: даже механический музыкальный автомат, «читающий» и воспроизводящий музыку с металлического диска – аналогом вредоносного ПО для такого устройства может быть металлический диск, содержащий такой набор отметок, который приведёт к заклиниванию или поломке механизма автомата.
Но сосредоточимся на современных электронных программируемых устройствах. На данный момент они существуют во множестве разных форм, однако наиболее широко распространёнными можно назвать следующие:
1.персональный настольный компьютер,
2.сервер,
3.ноутбук,
4.нетбук,
5.терминальная рабочая станция,
6.инфомат,
7.моноблок,
8.игровые консоли и приставки,
9.умные интерактивные доски (в т.ч. не требующие проектора, представляющие собой огромный сенсорный монитор или моноблок),
10.мобильные телефоны, 11.карманные компьютеры и ассистенты,
12.смартфоны,
13.смарттелевизоры,
14.смартчасы,
15.фитнессбраслеты, 16.трекеры и навигаторы,
17.коммутаторы, маршрутизаторы, криптомаршрутизаторы, шлюзы, 18.прочая бытовая техника с приставкой «смарт», 19.промышленные компьютеры и с программным управлением, 20.приборы учёта тепла, электричества, водоснабжения, 21.банковские смарткарты,
22.компьютеры автомобилей, поездов, кораблей, самолётов, космических аппаратов.
Естественно, этот список не полон и неизбежно будет меняться с течением времени и развитием технологий. На деле, почти любое электронное устройство, которое вы встретите, является программируемым – то есть более или менее сложным компьютером. Даже в обычном калькуляторе есть своё программное обеспечение, собственно и позволяющее выполнять вычисления, используя те электронные компоненты, из которых физически собрано данное устройство.
Вторым важным для нас компонентом являются сети, а, если быть более точным, связь и возможность обмена информацией между программируемыми устройствами. Большинство современных компьютеров не просто имеют возможность, но и предназначены именно для взаимодействовия с другими устройствами по каналам связи различной природы (беспроводные Bluetooth, Wi-Fi, кабельные и оптоволоконные линии). А так же по средством локальных и глобальных сетей, сетей операторов мобильной связи, построенных на основе этих каналов. Охват, пропускная способность и качество передачи информации позволяют практически без ограничений обмениваться большими объёмами информации множеству устройств, разбросанных по всему миру и находящихся на значительном удалении друг от друга.
Вместе с улучшением характеристик сетей связи, АО и ПО, расширяется и сфера применения компьютеров. Изначально электронные программируемые устройства существовали только в крупных научно-исследовательских центрах и применялись для выполнения сложных математических расчётов. Со временем, они стали появляться в организациях разного рода, но способ их применения мало изменился: выполнение сложных вычислений, правда уже не только научных. Компьютеры стали использоваться для инженерных и архитектурных расчётов. Постепенно они приобрели функции управления производством (управление станками и роботами, планирование и учёт сырья и продукции), ведения и обработки баз данных (весь финансовый сектор), развлечения (компьютерные игры, производство музыки и фильмов), управления большими сложными системами (железнодорожный транспорт, электросети) и так до сегодняшнего дня, когда мы встречаем программируемые электронные устройства почти на каждом шагу.
Компьютеры проникли, пожалуй, во все сферы человеческой жизни и не редко играют критическую роль: если выходит из строя компьютерная система управления железнодорожным транспортом, стоит ожидать серьёзных последствий: от задержек или даже полной остановки движения поездов, до аварий и катастроф. Почти вся финансовая деятельность происходит с участием электронных банковских систем. Телефонная связь реализуется по средством сетей, так же построенных на использовании компьютеров в качестве промежуточного служебного оборудования. А значит, в случае выхода этого оборудования из строя, не удастся связаться ни с родным и друзьями, ни вызвать сотрудников экстренных служб.
Вот и получается, что значение, возможности и влияние современной компьютерной техники и компьютерных систем просто огромно, учитывая на сколько важные задачи и сколько ценной информации сейчас доверены им. Значение и влияние компьютеров на жизнь современного общества находятся на том же уровне, что и влияние электричества и нефтепродуктов.
Рост возможностей техники сопряжён с ростом её сложности. Чем сложнее система тем, как правило, она гибче и функциональные. Только вот вместе со сложностью системы растёт вероятность возникновения проблем в ней. Становится больше возможностей совершить ошибку для всех, кто с этой системой связан: ошибки в проектировании, в воплощении, в установке и настройке, в использовании. Мест для появления ошибок становится больше, и соответственно становится труднее выявить недостатки в системе и устранить их. Эффект усиливается, порой, весьма своеобразными экономическими моделями и методами разработчиков АО и ПО.
Здесь важно понять, что вообще делает любое программируемое устройство? В самой своей сути оно выполняет алгоритм – последовательность команд, которую само устройство «не понимает» и «не оценивает»: компьютер не знает смысла и значения команд, он не определяет, к чему приведёт выполнение заданного алгоритма с заданными параметрами и, таким образом, сам по себе он не различает алгоритм, целью которого является разработка нового лекарства, и алгоритм, целью которого является уничтожение этого же самого компьютера.
Всё перечисленное ведёт, с одной стороны, к появлению у некоторых людей желания использовать компьютерные системы и особенности их работы для достижения своих целей, сопряжённого с причинением вреда другим. С другой стороны – к существованию принципиальной возможности реализовать эти желания.
Одним из важных инструментов злоумышленника является специальное программное обеспечение, часто называемое вредоносным программным обеспечением. Вредоносное программное обеспечение – любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам компьютера или к информации, хранящейся на нём, с целью несанкционированного использования ресурсов компьютера или нанесения ущерба владельцу информации и/или владельцу компьютера, путём копирования, искажения, удаления или подмены информации.
В зависимости от способа распространения и активизации вредоносное программное обеспечение в самом общем случае можно разделить на следующие типы:
1.вирусы;
2.черви;
3.троянские программы (трояны);
4.логические бомбы;
5.эксплойты;
Компьютерный вирус – это вредоносная программа, способная к самостоятельному размножению и распространению. Распространяется вирус путём внедрения своего кода в код других программ, системные области памяти, загрузочные сектора носителей информации, а также путём передачи своих копий по различным каналам связи.
Основная общая цель всех компьютерных вирусов – распространение, заражение как можно большего количества компьютеров. В добавок к этому, вирус, как правило, выполняет и другие функции: уничтожение данных пользователя, предоставление информации о пользователе и его действиях злоумышленнику, уничтожение аппаратного обеспечения заражённого компьютера, иное использование ресурсов компьютера в интересах злоумышленника.
Стоит отметить, что компьютерный вирус, как и обычная компьютерная программа, распространяется в виде исполняемого файла на носителях информации (флешки, лазерные диски, жёсткие диски, твёрдотельные накопители), а также по различным каналам передачи информации (пересылаются в виде вложений к электронным письмам, сообщениям в программах-мессенджерах, скачиваются с веб-сайтов и торрент-трекеров). Для того, чтобы начать действовать, вирусу требуется помощь пользователя или другой программы. В частности, они должны запустить вредоносный код на выполнение. До этого события вирус вообще ничего сделать не в состоянии.
Черви – это вредоносное ПО, способное самостоятельно распространяющееся через локальные и глобальные компьютерные сети. В отличие от вирусов, черви не требуют активных действий со стороны пользователя: черви самостоятельно проникают на компьютер, используя уязвимости в программном и аппаратном обеспечении, а также ошибки администрирования (неправильные настройки программ, не своевременное обновление, слабые или пустые пароли, неправильная настройка прав учётных записей и т.п.).
Троянские программы или трояны – это вредоносное ПО, проникающее на компьютер под видом полезной программы. В отличие от вирусов и червей, которые распространяются самостоятельно, трояны полагаются в этом на пользователя.
Логические бомбы – тип вредоносного ПО, которое начинает совершать предопределённые её создателями действия при выполнении заданных логических условий или при наступлении определённого момента времени.
Как правило, программы такого типа занимаются уничтожением или искажением данных в заражённой системе или предоставлением удалённого доступа к ней. Так же, логические бомбы используются для организации диверсий. Примером служит остановка сборочного конвейера «АВТОВАЗа», произошедшее в ноябре 1982 года.
Эксплойты – вредоносное программное обеспечение, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении атакуемого компьютера. Эксплойты предназначены для выполнения сторонних действий на уязвимом компьютере и могут быть нацелены на операционные системы, прикладное ПО, браузеры, CMS («движки» сайтов), а так же на конкретные сайты и веб-страницы.
Взависимости от метода получения доступа к уязвимому компьютеру эксплойты подразделяются на удалённые и локальные. Удалённый эксплоит работает через сеть и использует уязвимость в защите без предварительного доступа к заражаемой системе. Локальный эксплойт запускается непосредственно в уязвимой системе, требуя предварительного доступа к ней.
Компания MalwareBytes приводит следующую аналогию между «компьютерным» и «физическим» эксплойтами. В начале 2000-х владельцы дорогих велосипедов часто пристёгивали своё двухколёсное транспортное средство с помощью цилиндровых замков. Такие замки стоили по 50$ и считались надёжными… До тех пор, пока кто-то не выложил видео, в котором показывалось, как вскрыть замок этого типа за несколько секунд, используя только дешёвую шариковую ручку. В результате, производителям пришлось срочно менять конструкцию своих изделий, а владельцам велосипедов в срочном порядке переходить на новую модель замка.
Это пример использования уязвимости (эксплойта) в физической системе безопасности. Однако он очень хорошо иллюстрирует суть эксплойтов компьютерных систем.
Взависимости от поведения и от решаемых задач вредоносное программное обеспечение в самом общем случае можно разделить на следующие типы:
1.руткиты;
2.шпионские программы;
3.программы-вымогатели;
4.майнеры;
5.макровирусы;
6.потенциально нежелательное или потенциально опасное ПО;
7.шутки;
8.рекламное ПО.
Руткиты – набор программных средств (исполняемых файлов, скриптов, конфигурационных файлов) предоставляющее злоумышленнику права администратора (суперпользователя) в заражённой системе, а так же маскировку объектов (процессов, файлов, каталогов, драйверов), управление
событиями, происходящими в системе, и сбор данных на заражённом компьютере.
ПО этого типа позволяет злоумышленнику закрепиться в поражённой системе и прятать следы своей деятельности путём скрытия файлов, процессов,
атакже самого присутствия руткита в системе.
Всистему руткит может быть установлен различными способами: загрузка злоумышленником посредством эксплойта; по средством получения терминального доступа (удалённой командной строки) с использованием, например, FTP-клиента для загрузки руткита с удаленного устройства; загрузка в составе исходного кода или ресурсов программного продукта.
Шпионские программы – это программы, скрытно собирающие информацию о системе, хранящейся в ней информации, действиях программ и пользователей, и пересылающие эти данные злоумышленнику. Программы этого типа записывают нажатия клавиш клавиатуры, перемещение указателя мыши, нажатие кнопок в окнах программ, делают скриншоты и записывают аудио и видео с микрофонов и веб-камер, подключённых к компьютеру. Поэтому следует, по возможности, физически отключать или блокировать устройства данного типа, на то время, пока ими не пользуются.
Стоит отметить, что шпионское ПО, на самом деле, может использоваться совершенно легально. Так в некоторых организациях системные администраторы и администраторы информационной безопасности устанавливают соответствующие программы для слежения за действиями пользователей, выявления причин и, возможно, виновников технических сбоев,
атак же выявления и противодействия промышленному шпионажу – кражам интеллектуальной собственности сотрудниками организации.
Программы-вымогатели – программное обеспечение, делающее невозможным нормальное функционирование системы или нормальный доступ к информации, и запрашивающее выполнение определённых действий, в т.ч. перевода денежных средств, в обмен на прекращение своей деятельности. Программы такого типа могут блокировать доступ к заражённой системе или её работу, блокировать отдельные функции (изменение и создание новых файлов, пересылку файлов по сети, копирование на съёмные носители), шифровать или удалять данные.
Важно отметить, что программы-вымогатели далеко не всегда возвращают заражённую систему и информацию в нормальное состояние после выполнения требований злоумышленников. Часто, соответствующая функция может быть даже не предусмотрена разработчиками. Более того, иногда, даже желая вернуть пострадавшему пользователю информацию, злоумышленники оказываются не в состоянии это сделать. На своём сайте, компания DrWeb в материалах, посвящённых программам-шифровальщикам, приводит пример, когда авторы такой программы сами не смогли расшифровать данные заплатившего пользователя и порекомендовали ему обратиться в техническую службу DrWeb.
Майнеры – вредоносное программное обеспечение, использующее вычислительные ресурсы компьютера (время работы центрального и
графического процессоров) для майнинга криптовалют в пользу
злоумышленника без ведома владельца компьютера. При этом часто оказывается, что такая программа использует на столько много вычислительных ресурсов, что нормальная работа заражённого устройства становится невозможной.
Макровирусы – это вредоносное ПО, представляющее собой скрипт – программу написанную на внутреннем языке целевого программного продукта. Например, приложения MS Office поддерживают написание и выполнение алгоритмов (макросов) на языке BASIC. DrWeb определяет макровирусы, как вирусы, использующие особенности файлов офисных программ, а также встроенные макроязыки данных приложений.
На практике это означает, что простое открытие офисного документа может привести к заражению компьютера. Здесь очень ярко проявляется двойственность: с одной стороны, возможность включения в файл интерактивного содержимого или добавления своих собственных пользовательских функций существенно расширяет наши возможности и делает работу с данными более удобной. При этом стирается грань между файлом с данными (например, с текстом) и файлом с программой – мы можем заполнять в этом файле сложные формы, настраивать способ отображения данных, размещать диаграммы, которые будут меняться в зависимости от изменения нами данных и настроек самих диаграмм. С другой стороны, это открывает новые возможности и для злоумышленников, ведь встроены могут быть какиеугодно алгоритмы и интерактивные элементы. К стати, поэтому приложение MS Word по-умолчанию открывает полученные из интернета файлы в режиме ограниченной функциональности.
Потенциально нежелательное или потенциально опасное ПО – к этому типу программного обеспечения относятся программы, которые сами по себе не причиняют вреда, но могут быть использованы злоумышленниками.
Примером таких программ являются программы удалённого администрирования, например, UltraVNC, AnyDesk, AmmyAdmin, TeamViewer. Эти программы требует локальной установки на удалённом компьютере своей серверной части, после чего по средством своей клиентской части позволяет подключаться к удалённому компьютеру и работать на нём как на локальном. Большинство подобных программных продуктов разрабатываются с целью облегчить жизнь системным администраторам, позволяя, в большинстве случаев, удалённо знакомиться с ситуацией и выполнять настройки компьютеров пользователей. Обычно разработчики предусматривают возможность гибко настроить разрешения и запреты для удалённых подключений. Например, запретить передачу файлов, разрешить только просмотр экрана, установить приоритет локальных клавиатуры и мыши над удалёнными. Также сама процедура принятия соединения, как правило, включает запрос пароля у желающего подключиться и показ локальному пользователю окна с сообщением о подключении или просьбой разрешить подключение удалённого пользователя.
Однако, если такие программы настроены не правильно или установлены злоумышленниками скрытно, то они предоставляют, по-сути, те же возможности, что и вредоносное ПО уже рассмотренных типов.
Шутки – этот тип программного обеспечения не причиняет прямого ущерба ни информации, ни компьютерной системе, но причиняет беспокойство пользователям.
Примером такого ПО можно назвать программу, которая прописывается в список автозагрузки и при каждом включении компьютера приветствует пользователя сообщениями в стиле «Произнесите пароль, иначе жёсткий диск будет отформатирован!», «Внимание, вы совершили ОШИБКУ!!! Windows будет удалена!» или эмулирует BSOD – так называемый «Синий экран смерти», просто выбирая один из заранее заготовленных скриншотов и показывая его в полноэкранном режиме. Более «неприятные» программы-шутки могут менять системные шрифты и цвета, что приводит к ухудшению читабельности информации с экрана монитора. Или буквально осыпать пользователя сообщениями, что может сделать использование заражённого компьютера невозможным.
Рекламное ПО – программное обеспечение, отображающее рекламные сообщения. К этому типу относятся, в общем-то, безвредные легальные программы, которые выполняют полезные, нужные пользователю действия, но часть своего окна отводят под показ рекламных баннеров. Подобное поведение, например, свойственно менеджеру закачек DownloadMaster, встречалось в предыдущих версиях Skype и некоторых торрент-клиентах.
Так же, к этому типу относятся по-настоящему вредоносные программы, например, меняющие настройки браузеров и/или устанавливающиеся в качестве дополнений к ним. Такие программы часто открывают всплывающие окна и новые вкладки, добавляют баннеры на просматриваемые страницы. Другой формой вредоносного рекламного ПО являются программы скрытно присутствующие в системе и показывающие всплывающие уведомления или открывающие окна с рекламой. Заражённый такими программами компьютер может быть непригоден не только для просмотра веб-страниц, но и вообще для какого-либо использования, потому что пользователю постоянно приходится закрывать массу незапрошенных окон, а в случае высокой активности рекламное ПО может поглощать все доступные ресурсы компьютера.
Остаётся отметить, что существуют разные классификации вредоносного ПО, и что разные вредоносные программы различаются по своим возможностям, своим действия и своей разрушительной силе. Но обычно вредоносные программы занимаются:
1.сбором информации (информация о компьютерной системе и сети, персональные данные пользователя, учётные записи, данные платёжных систем);
2.предоставлением нелегального удалённого доступа к заражённой системе (удалённое администрирование, удалённое управление);
3.нелегальное использование ресурсов компьютера (в качестве проксисервера для маскировки своей деятельности, в качестве узла для
рассылки спама или организации DDOS-атак, подбора паролей, снятия шифрования с некоторых наборов данных, майнинга криптовалют, и т. д.);
4.уничтожением информации, уничтожением или временным нарушением работы атакуемой системы;
5.искажением информации хранимой или обрабатываемой в компьютерной системе, с целью причинения ущерба владельцу информации или компьютера;
6.шантажом и вымогательством.