3204
.pdfполучение пароля на основе анализа информации пользовательских файлов (командных файлов установления соединения, файлов почтовых сообщений).
Реализация перехватчиков паролей, как правило, сложна, но затраченные вирусописателем усилия компенсируются более высокой эффективностью функционирования вируса. Впрочем, непосредственно для распространения вирусов данный метод применяется редко, чаще функция перехвата паролей с последующей отправкой перехваченных данных автору вируса рассматривается как «полезная нагрузка» вируса.
4.Внедрение в легальные сетевые соединения. Вирус внедряется в программу общего пользования, позволяющую устанавливать сетевые соединения (например, Windows Explorer). Когда пользователь использует зараженную программу для установки сетевого соединения, вирус использует это соединение для своего размножения, получая доступ к сетевым ресурсам от имени текущего пользователя. Возможны и другие методы внедрения в сетевые соединения.
5.Использование ошибок администрирования.
Некоторые операционные системы поставляются со встроенными учетными записями пользователей со стандартными паролями. Иногда по каким-либо причинам администратор операционной системы не изменяет пароли таких пользователей, что открывает брешь в подсистеме защиты. Поскольку поиск ошибок администрирования является сложной и трудноформализуемой задачей, данный метод в настоящее время почти не применяется.
6.Использование ошибок в программном обеспечении атакуемой системы.
Все перечисленные выше методы, кроме последнего, эффективны только при размножении онлайн-вируса в локальных сетях, в которых операционные системы большинства компьютеров могут выступать в роли файлового сервера. В глобальных сетях, в частности Интернете, на большинстве компьютеров функции файлового сервера
191
отключены либо заблокированы пакетным фильтром, что фактически сужает выбор вирусописателем метода размножения онлайн-вируса до одного-единственного метода.
Именно последний метод используется подавляющим большинством онлайн-вирусов, бесконтрольно распространяющихся в Сети. В ситуации, когда атакуемая система вообще не имеет штатных средств, позволяющих осуществить внедрение вируса, альтернативы использованию ошибок программного обеспечения просто нет. Что же касается первых пяти методов, то они являются прерогативой «коллекционных» онлайн-вирусов, применяемых хакерами для получения несанкционированного доступа к ресурсам конкретных компьютеров и локальных сетей.
В настоящее время типичный срок жизни онлайн-вируса «в живой природе» составляет от нескольких дней до нескольких недель. За это время производитель программного продукта, содержащего используемую вирусом уязвимость, успевает выпустить пакет обновления, а часть пользователей уязвимого продукта – установить этот пакет.
Как только доля пользователей, установивших пакет обновления с «вакциной» от вируса, превосходит некоторую критическую величину, размножение вируса прекращается, а оставшиеся живые тела вируса постепенно уничтожаются антивирусами. По окончании эпидемии от многотысячной (а иногда и многомиллионной) армии однотипных вирусных тел остаются считанные единицы, которые продолжают латентное существование еще некоторое время, пока не вымирают естественным путем в результате переустановок зараженных операционных систем.
Сейчас на долю онлайн-вирусов приходится 2...3 % всех сетевых вирусов, циркулирующих в сети Интернет, однако, несмотря на то что доля вирусов данного класса среди всех сетевых вирусов невелика, опасность онлайн-вирусов не следует недооценивать. Так, знаменитый вирус MSBlast, практически парализовавший работу Интернета в конце лета 2003 г., относится к классу онлайн-вирусов.
192
Большинство уязвимостей, используемых онлайнвирусами, наблюдаются в операционных системах семейства Microsoft Windows. Среди современных пользователей распространено убеждение, что это связано с тем, что операционные системы Windows более уязвимы для вирусов, чем их основные конкуренты – семейство Linux. На самом деле общая защищенность и качество кода в Windows и в Linux примерно одинаковы, а большее количество вирусов, атакующих Windows, объясняется лишь большей популярностью операционных систем данного семейства. Авторы вирусов обычно заинтересованы в том, чтобы их «детище» заразило максимально большое число компьютеров, и поэтому с большим интересом изучают уязвимости наиболее популярных операционных систем. Так, по данным лаборатории CtrlTest, в августе 2003 г. системы семейства Windows составляли 91 % среди общего «поголовья» операционных систем в мире, а системы семейства Linux – всего лишь 4,5 %. Совершенно естественно, что операционные системы семейства Windows интересуют вирусописателей гораздо в большей степени.
Наибольшее количество уязвимостей было обнаружено в следующих компонентах распространенных операционных систем:
Windows – DAC (Data Access Components, интерфейс для доступа к базам данных), IIS (Internet Information Server, веб-сервер), RAS (Remote Access Service, служба удаленного доступа, модемный сервер), Windows Sripting Host;
UNIX – Apache (веб-сервер), BIND (DNS-сервер), RPC (Remote Procedure Call, интерфейс для организации взаимодействия между процессами, выполняющимися на разных компьютерах сети), sendmail (почтовая программа).
Начиная с 2002 г. почтовые вирусы являются самыми распространенными не только среди сетевых вирусов, но и среди вирусов вообще. Сегодня на долю почтовых вирусов приходится более 97 % всего «поголовья» вирусов во всем мире.
193
Если онлайн-вирусы можно сравнить с живородящими животными, то почтовые вирусы размножаются, откладывая «яйца» – сообщения электронной почты, содержащие либо тело вируса, либо ссылку на него. Для того чтобы компьютер заразился почтовым вирусом, пользователь должен как минимум просмотреть зараженное письмо (иногда достаточно предварительного просмотра без открытия письма в окне), а чаще – открыть прикрепленный к письму файл либо воспользоваться содержащейся в письме ссылкой. До этого момента почтовый вирус неактивен и абсолютно беззащитен для антивирусов.
Наличие латентной стадии в жизненном цикле почтового вируса является основным недостатком (с точки зрения вирусописателей) вирусов данного класса. Однако этот недостаток вполне компенсируется простотой написания (по сравнению с онлайн-вирусами) и возможностью быстро создать гигантское количество копий вируса, большинство из которых будут вскоре уничтожены, но некоторые наверняка сумеют активизироваться на других компьютерах. Продолжая биологическую аналогию, можно заметить, что и в живой природе детеныш, вылупившийся из яйца, имеет меньше шансов на выживание, чем детеныш живородящего животного, однако яйцекладущие организмы компенсируют этот недостаток большим количеством откладываемых яиц.
Заметим, что не все почтовые вирусы используют для рассылки своих копий электронную почту в традиционном смысле слова (протокол SMTP). Существует немногочисленные вирусы, рассылающие свои копии по сетям немедленной передачи сообщений (ICQ, IRC), файлообменным сетям (ED2K), а также через публикацию зараженных сообщений в популярных форумах и блогах.
В ходе размножения почтовый вирус последовательно решает следующие задачи:
выбор очередной жертвы; заполнение темы и тела электронного письма; прикрепление вируса к письму;
194
отправка зараженного письма жертве. Рассмотрим эти задачи подробнее.
Для выбора очередной жертвы почтовые вирусы обычно используют один или несколько алгоритмов из следующего списка:
получение почтовых адресов из адресной книги текущего пользователя;
получение почтовых адресов из документов и веб-страниц, с которыми работает текущий пользователь;
получение почтовых адресов с фиксированного веб-сайта или другого интернет-источника.
Заполнение темы и тела зараженного письма у
подавляющего большинства почтовых вирусов происходит по фиксированному шаблону – большая часть темы и текста одинакова для всех писем, созданных данным вирусом, отличаются лишь отдельные фрагменты (обращение, подпись и т.п.), да и то не всегда. Некоторые вирусы берут тему и текст письма из других писем того же пользователя или из документов, с которыми работает пользователь. Такие вирусы в ходе своего размножения могут разглашать секретную информацию. Так, Евгений Касперский утверждает, что в 2002 г. получил письмо от вируса, содержащее описание схемы охраны некоего олигарха.
Интересной вариацией данного метода является применение вирусом марковских генераторов, создающих случайные последовательности слов, в которых каждый небольшой отрезок (обычно 5 – 7 слов) является осмысленным, а все письмо в целом создает впечатление, что его писал именно тот человек, от имени которого оно отправлено, но в состоянии алкогольного или наркотического опьянения.
Прикрепление вируса к письму является наиболее сложной из всех задач, решаемых почтовым вирусом. Именно в отношении этой задачи наблюдается наибольшее разнообразие средств и методов, используемых различными почтовыми вирусами.
Наиболее частым методом прикрепления вируса к
195
электронному письму является метод присоединяемых файлов. В этом случае к письму штатным образом прикрепляется файл, в котором может находиться как непосредственно тело вируса, так и специальный загрузчик, загружающий тело вируса с заданного сервера Сети (экзотический вариант – из заданной группы новостей UseNet или FIDO).
Для того чтобы заставить пользователя открыть файл с вирусом, авторами червей применяются различные психологические ходы. Обычно вирус пытается выдать свое «яйцо» за какой-то важный документ, картинку или полезную программу. Так, например, вирус ILovGate создает ответы на письма, содержащиеся в почтовой базе зараженного компьютера, а вирус AnnaKurnikova содержит фотографию (вероятно, поддельную) обнаженной Анны Курниковой. Необычный вариант, ставший популярным в последние месяцы: «Ваш IP-адрес обнаружен в журнале сайта педофилов. Вы будете арестованы. Подробности в прикрепленном файле».
Файл, содержащий тело вируса, не обязательно является бинарным исполняемым файлом. Так, уже упомянутый в начале раздела вирус ShareFun является макровирусом Microsoft Office, а знаменитый вирус Nimda распространялся главным образом через скрипты на языке JavaScript в HTMLфайлах.
Многие почтовые вирусы маскируют файлы со своими телами, имитируя наличие у них других расширений, например,
"Naked Anna Kurnikova.jpg.exe", "rose.jpg (56Kb). exe"
или даже
"illegal porno.exe%00.avi".
Для того чтобы предотвратить заражение компьютера почтовым вирусом, использующим данную схему заражения, достаточно всего лишь не открывать файлы, прикрепленные к подозрительным письмам, т.е. к письмам, обладающим хотя бы одним из двух следующих признаков:
письмо похоже на спам;
196
стиль письма резко отличается от обычного стиля отправителя (кажется, что отправитель писал письмо, будучи сильно пьяным).
Некоторые наиболее «продвинутые» почтовые вирусы содержат средства, эксплуатирующие уязвимости распространенных почтовых клиентов и веб-браузеров, позволяющие обеспечивать автоматическое открытие прикрепленного к письму файла без прямого участия пользователя заражаемого компьютера. Наиболее часто почтовыми вирусами использовалась некорректная обработка тэга IFRAME в низкоуровневых библиотеках Internet Explorer 5.0 и 5.5. В 2002 г. данную уязвимость использовало более 85 % всего вирусного «поголовья», включая вирусы I love you и Klez.
Метод встроенных кодов HTML основывается на некорректной обработке команд HTML в определенных браузерах и почтовых клиентах. Вирусы, использующие данный метод, хранят свое тело непосредственно в тексте сообщения, зараженные письма не содержат прикрепленных файлов и потому не выглядят подозрительно. С другой стороны, необходимым условием применимости данного метода в конкретном почтовом клиенте или веб-браузере является наличие в этом программном продукте серьезной уязвимости. При отсутствии такой уязвимости потенциально опасные тэги HTML перед передачей браузеру либо искажаются, либо вообще вырезаются из письма.
Первым вирусом данного класса был вирус BubbleBoy, появившийся в 1999 г. С помощью штатной команды языка
HTML он активизировал компоненту ActiveX Scriptlet Typelib
(в то время почтовые клиенты, как правило, не блокировали исполнение опасных команд HTML в теле письма), в результате чего вирус активизировался при предварительном просмотре простого HTML-письма, не содержащего ни прикрепленных файлов, ни внешних ссылок.
Вирусы Nimda, Aliz, BadtransII и Ко использовали уязвимости Internet Explorer и Outlook Express версий 5.0 и 5.5
197
(точнее, низкоуровневых библиотек, используемых Internet Explorer и Outlook Express), позволяющие автоматически запустить ЕХЕ-файл под видом звукового файла. Для эксплуатации данной уязвимости не требовалось открывать зараженное письмо, вполне достаточно было просмотреть его в режиме предварительного просмотра, без открытия.
Метод эксплуатации уязвимостей программного обеспечения является одним из наиболее эффективных (и наиболее сложных в реализации) методов прикрепления тела вируса к электронному письму. При применении данного метода тело вируса размещается внутри специально сформированного электронного письма некорректного формата таким образом, что при обработке данного письма уязвимым программным обеспечением код вируса несанкционированно получает управление.
Наиболее часто в рамках данного метода эксплуатируются уязвимости, связанные с переполнениями буферов. Достоинством данного класса уязвимостей является то, что при наличии переполнения буфера бинарный код вируса может быть встроен в любой файл данных, обрабатываемый уязвимым программным продуктом. Широкий резонанс в средствах массовой информации получили почтовые вирусы, распространяющиеся внутри изображений формата BMP и JPEG.
Метод встроенных ссылок использует тот факт, что сообщения электронной почты могут содержать внешние ссылки на веб-страницы и файлы. После того как пользователь активизирует ссылку, содержащуюся в письме, обычно запускается веб-браузер, в котором открывается файл, на который указывает ссылка. Все современные почтовые клиенты и веб-браузеры содержат специальные средства, блокирующие потенциально опасные ссылки в теле письма, но время от времени обнаруживаются уязвимости, позволяющие почтовому вирусу размещать в письме ссылку на свое тело, которая не воспринимается соответствующим программным обеспечением как опасная.
198
При использовании данного метода вирус размещает свое тело на общедоступном интернет-сайте, а в письмо помещается ссылка, при открытии которой вирус активизируется на новом компьютере. Некоторые вирусы дополнительно эксплуатируют уязвимости клиентского программного обеспечения, позволяющие имитировать открытие ссылки пользователем незаметно для самого пользователя.
Отправка зараженного письма является самой простой из задач, решаемых почтовым вирусом. Некоторые вирусы содержат в своем коде собственную реализацию протокола SMTP, другие вирусы пользуются той же клиентской программой, что и пользователь зараженного компьютера. Ни тот, ни другой способ не имеют заметных преимуществ или недостатков по сравнению друг с другом.
2.7. Средства и методы защиты от программных закладок
Все имеющиеся на данный момент методы защиты компьютерных систем от программных закладок, в частности компьютерных вирусов, можно разделить на две группы:
1)методы применения штатных защитных средств компьютерной системы для построения и поддержания политики безопасности, адекватной в отношении защиты от программных закладок;
2)методы применения специализированных антивирусных средств, предназначенных для выявления, предупреждения и пресечения разрушающих воздействий на компьютерную систему со стороны программных закладок.
Политика безопасности компьютерной системы в отношении защиты от программных закладок базируется на двух основных принципах: минимизации программного обеспечения и минимизации полномочий пользователей. Рассмотрим эти принципы подробнее.
Принцип минимизации программного обеспечения
состоит в том, что в операционной системе должно
199
инсталлироваться только то программное обеспечение, которое необходимо пользователям для выполнения своих служебных обязанностей. Неиспользуемые компоненты операционной системы, в том числе и устанавливаемые по умолчанию, должны удаляться. Чем меньше объем программного обеспечения, установленного в защищаемой системе, и чем меньше разнообразие этого программного обеспечения, тем меньше вероятность того, что очередная новая уязвимость затронет данную систему.
В Windows ХР по умолчанию инсталлируется целый ряд программных компонент, которые в дальнейшем, как правило, не используются. К ним относятся, в частности:
Distributed Link Tracking Client – обеспечивает монтирование DFS-каталогов удаленных компьютеров на каталоги локальных дисков с файловой системой DFS (расширение NTFS);
Secondary Logon – позволяет стартовать процесс от имени другого пользователя, введя соответствующие имя и пароль;
Upload Manager – поддерживает дополнительные функции передачи данных по сети.
Как развитие принципа минимизации программного обеспечения можно рассматривать рекомендацию использовать нестандартное программное обеспечение, уязвимости которого изучаются хакерским сообществом не так интенсивно. Например, веб-клиент Opera менее опасен с точки зрения уязвимостей кода, чем Internet Explorer, а почтовый клиент The Bat менее опасен, чем Outlook и Outlook Express. Данный факт связан отнюдь не с низким качеством программного кода Microsoft, а с тем, что интерес потенциальных нарушителей безопасности направлен в первую очередь на поиск уязвимостей в наиболее распространенных программных продуктах. Программные средства «второго эшелона» анализируются хакерами значительно менее интенсивно.
Принцип минимизации полномочий пользователей
заключается в том, что каждому пользователю должны
200