Ответы на вопросы 5
.pdf1. Дайте определение вредоносному программному обеспечению
(ПО) с точки зрения его ключевых целей (конфиденциальность,
целостность, доступность). Ответ: Вредоносное программное обеспечение — это совокупность программных средств,
предназначенных для несанкционированного воздействия на информационные ресурсы, вычислительные процессы или инфраструктуру с целью нарушения конфиденциальности, целостности или доступности данных.
2.В чём заключается принципиальное различие между компьютерным вирусом и сетевым червем? Ответ: Вирус требует участия пользователя и внедряется в существующие файлы, тогда как сетевой червь распространяется самостоятельно по сети, используя уязвимости программного обеспечения.
3.Назовите и охарактеризуйте три основных типа вредоносного ПО, выделяемых в международных стандартах (помимо вирусов и червей). Ответ: Трояны — маскируются под легитимное ПО,
выполняют скрытые функции; руткиты — скрывают присутствие злоумышленника и обеспечивают привилегированный доступ;
программы-вымогатели — шифруют данные и требуют выкуп за их восстановление.
4. Почему проблема распространения вредоносного ПО приобрела стратегический характер в современной цифровой экономике? Назовите ключевые социально-экономические последствия. Ответ: Из-за взаимосвязанности систем кибератаки приводят к экономическим убыткам, утрате доверия, репутационным потерям и угрозе национальной безопасности. Примеры: SolarWinds, MOVEit.
5.Что такое 'атака на цепочку поставок программного обеспечения'? Приведите известный пример из лекции. Ответ: Это внедрение вредоносного кода в процесс разработки или обновления легитимного ПО. Пример — атака на SolarWinds, когда вредоносный модуль был внедрён в обновления системного ПО.
6.Опишите жизненный цикл файлового вируса. Каковы ключевые артефакты для его обнаружения? Ответ: Этапы:
проникновение, закрепление, исполнение, распространение,
сохранение доступа. Артефакты: изменённые файлы, контрольные суммы, аномалии в процессах и автозапусках.
7. Чем опасны загрузочные (boot) вирусы и вредоносные компоненты UEFI по сравнению с файловыми? Почему их сложнее обнаружить и обезвредить? Ответ: Они действуют до загрузки ОС,
закрепляются в прошивке и контролируют систему на уровне ядра. Их сложно выявить, так как они обходят стандартные механизмы защиты
ипереживают переустановку ОС.
8.Каков механизм действия макровирусов и почему они остаются актуальной угрозой, несмотря на простоту? Ответ: Они используют макрокод в офисных документах и активируются при их открытии. Угроза сохраняется из-за распространённости макросов и социальной инженерии.
9.Почему скриптовые вредоносные компоненты (например,
использующие PowerShell) представляют серьёзную проблему для традиционных антивирусов? Ответ: Скрипты исполняются в памяти без создания файлов, используют легитимные системные средства, что делает их невидимыми для сигнатурного анализа.
10.В чём основное тактическое преимущество сетевого червя перед другими типами вирусов? Ответ: Самостоятельное распространение по сети без участия пользователя, что обеспечивает высокую скорость заражения.
11.Чем мотивация и цели создателей разрушающего вредоносного ПО отличаются от мотивации создателей программ-
вымогателей? Ответ: Разрушающее ПО нацелено на саботаж и уничтожение данных, а программы-вымогатели — на получение финансовой выгоды.
12. Опишите типичные этапы поведения шпионского ПО. Какие методы и средства наиболее эффективны для его обнаружения и противодействия? Ответ: Этапы: разведка, сбор данных, локальное хранение, эксфильтрация. Методы: DLP-системы, мониторинг трафика,
поведенческая аналитика, контроль привилегий.
13.Что такое 'двойной шантаж' в контексте современных программ-вымогателей? Ответ: Это тактика, при которой злоумышленники сначала крадут данные и угрожают их публикацией,
азатем шифруют их, требуя выкуп.
14.Какую основную функцию выполняют руткиты и стелс-
вирусы? Почему их обнаружение представляет наибольшую
сложность? Ответ: Они скрывают присутствие вредоносных процессов
ифайлов. Сложность в том, что они модифицируют системные вызовы
имогут действовать в ядре ОС.
15.Объясните, почему реальная вредоносная программа часто сочетает в себе признаки нескольких поведенческих классов.
Приведите гипотетический пример. Ответ: Современные угрозы
комбинируют функции для устойчивости и скрытности. Например,
троян, который устанавливает руткит и модуль шифрования данных.
16.В чём разница между полиморфизмом и метаморфизмом вредоносного ПО? Как методы обнаружения эволюционируют в ответ на эти техники? Ответ: Полиморфизм изменяет внешний вид кода через шифрование, метаморфизм — структуру кода. Детекторы переходят от сигнатур к поведенческому и семантическому анализу.
17.Какую цель преследуют злоумышленники, используя упаковщики и крипторы? Каковы индикаторы упакованного файла?
Ответ: Цель — скрыть вредоносный код от анализа. Признаки: высокая
энтропия, аномальные заголовки, малое число импортов, распаковка в
памяти.
18.Дайте определение безфайловому вредоносному ПО. Какие источники телеметрии становятся критически важными для его обнаружения? Ответ: Безфайловое ПО действует в памяти без записи на диск. Важны логи PowerShell, события создания процессов, сетевые соединения, данные SIEM/EDR.
19.Почему современные вредоносные программы часто используют комбинацию полиморфизма, упаковки и безфайловых техник? Какой общий принцип защиты следует применить против таких гибридных угроз? Ответ: Комбинация повышает скрытность.
Основной принцип — глубокая эшелонированная защита: мониторинг,
сегментация, ограничение привилегий, резервирование данных.
20. Перечислите и охарактеризуйте не менее трёх основных векторов первоначального доступа злоумышленника в систему. Ответ:
Фишинг (социальная инженерия), эксплуатация уязвимостей
публичных сервисов, компрометация цепочки поставок, использование похищенных учётных данных.
21. Что такое закрепление и какими способами оно достигается на разных уровнях системы (пользователь, система, ядро, прошивка)?
Ответ: Закрепление — обеспечение постоянного доступа. Реализуется через автозапуск, службы, драйверы, задачи планировщика,
модификацию UEFI.
22. Какие техники используются злоумышленниками для повышения привилегий в системе? Ответ: Эксплуатация уязвимостей,
неправильные права доступа, дамп учётных данных, использование токенов и сервисных аккаунтов.
23. Что подразумевается под 'латеральным движением'? Какие архитектурные меры защиты наиболее эффективны для его сдерживания? Ответ: Это перемещение злоумышленника внутри сети.
Меры: сегментация сети, контроль прав доступа, мониторинг аутентификации, NDR/SIEM.
24.Чем отличаются конечные цели атаки на этапах
'Эксфильтрация', 'Шифрование' и 'Уничтожение'? Какие меры защиты критически важны для минимизации ущерба на каждом этапе? Ответ:
Эксфильтрация — кража данных, шифрование — блокировка доступа,
уничтожение — саботаж. Защита: контроль трафика, резервные копии,
сегментация.
25. Опишите архитектуру классического антивирусного решения,
перечислив его ключевые компоненты и их функции. Ответ:
Компоненты: постоянный сканер, сканер по требованию, модуль обновления, карантин, восстановление, облачный репутационный анализ.
26. Назовите и сравните основные методы обнаружения угроз,
используемые в классических антивирусах. Ответ: Сигнатурный — точный, но не видит новые угрозы; эвристический — выявляет новые,
но ошибается; поведенческий и песочница — эффективны, но ресурсоёмки.
27. В чём заключается принципиальное отличие EDR (Endpoint Detection and Response) от традиционного антивируса? Ответ: EDR
отслеживает и реагирует на аномалии поведения, собирает телеметрию и поддерживает расследования, а не только блокирует угрозы.
28. Какую задачу решают NDR (Network Detection and Response)
системы и какие угрозы они помогают обнаружить? Ответ: NDR
анализирует сетевой трафик и выявляет аномалии, не видимые на конечных точках — например, латеральное движение и утечки данных.
29. Что такое XDR (Extended Detection and Response) и какова его основная ценность по сравнению с EDR и NDR? Ответ: XDR
объединяет данные EDR, NDR и других источников, обеспечивая сквозную корреляцию событий и автоматизированное реагирование.
30. Проследите эволюцию компьютерных вирусов: назовите ключевые этапы и по одному примеру для каждого. Ответ: 1980-е — файловые вирусы (Brain), 1990-е — макровирусы (Melissa), 2000-е — сетевые черви (ILOVEYOU), 2010-е — вымогатели (WannaCry).
31. Проанализируйте кейс WannaCry. Какие технические и организационные просчёты привели к его масштабному распространению? Какие уроки следует извлечь? Ответ:
Неустановленные обновления и слабая сегментация сети. Урок — необходимость патч-менеджмента и резервного копирования.
32. Чем атака NotPetya отличалась от WannaCry? Какой урок по управлению рисками цепочки поставок она демонстрирует? Ответ:
NotPetya был разрушительным и распространялся через компрометированное обновление ПО. Урок — контроль и верификация цепочки поставок.
33.Что такое 'EDR-kill' утилиты и как злоумышленники их применяют? Какие контрмеры можно реализовать? Ответ: Это инструменты для отключения систем защиты. Контрмеры — защита процессов безопасности, контроль целостности и изоляция агентов.
34.Почему атаки на уровне UEFI/прошивки представляют новый уровень угрозы? Какие меры защиты необходимы? Ответ: Они действуют до ОС и могут сохраняться после переустановки. Защита:
Secure Boot, TPM, проверка целостности и контроль обновлений прошивок.
35. Сформулируйте принцип 'глубокой эшелонированной защиты' применительно к борьбе с современным вредоносным ПО.
Ответ: Это использование многоуровневых мер: антивирус, EDR/NDR,
сегментация сети, резервные копии, обучение пользователей.
36.Почему наличие проверенных, изолированных и регулярно тестируемых резервных копий является одной из самых важных защитных мер? Ответ: Потому что они обеспечивают восстановление после атак шифровальщиков и разрушительных вирусов, минимизируя потери.
37.Как современные тенденции смещают фокус с 'обнаружения по IoC' на 'обнаружение по IoB'? Ответ: Из-за полиморфизма и бесфайловых атак индикаторы поведения (IoB) становятся надёжнее,
так как отражают реальные действия угрозы.
38. Составьте краткий план мероприятий для организации по повышению устойчивости к вредоносному ПО. Ответ: Технические меры: антивирус, EDR, сегментация, резервное копирование;
организационные: обновления, контроль доступа; обучающие:
тренинги по фишингу.
