 |
Средства удаленного администрирования
|
|
|
|
Программа, предназначенная для осуществления удаленного управления системой. Однако такое программное средство в руках человека, отличного от легального сетевого администратора, является серьезной угрозой безопасности.
Dialer
Программа, которая переадресует Интернет-соединение на объект, отличный от, например, сервис-провайдера пользователя по умолчанию. Программа вынуждает модем жертвы переключиться на другой телефонный номер, что может привести к большим счетам за услуги связи. Раньше такой вид атак назывался "молдавская связь" (по месту создания первого образца).
Browser Hijackers
Программы, которые замещают просмотр базовой страницы, искомой страницы, результаты поиска или сообщения об ошибке другими данными, которые пользователь не запрашивал. Этот тип вредоносных программ можно отнести к adware.
Вредоносные коды Browser-hijacking взаимодействуют с машиной атакера, используя протокол валидации почты (SPF - Sender Policy Framework). Такая технология усложняет детектирование вредоносного трафика firewall'ом и другими сетевыми системами безопасности.
Новый вредоносный код, называемый Trojan.Spachanel, имеет целью внесения вредоносного JavaScript в каждую Web-страницу, открытую на зараженном компьютере. Задачей JavaScript является отображение фальшивого рекламного сообщения в выпадающем окне, с тем чтобы пользователь кликнул на нем и перешел на зараженный сайт атакера. Вредоносный код периодически генерирует доменное имя согласно предопределенному алгоритму и осуществляет вызов с использованием протокола SPF.
Bot-коды
Bot-коды были созданы для автоматизации контроля параметров и администрирования каналов IRC (Internet Relay Chat), т.е. в первоначальном виде опасности не представляли. Вскоре хакеры выяснили, что эти программы пригодны для нелегального внедрения в машины и выполнения вредоносных операций. Пользователи, посещающие IRC-чаты или WEB-сайты сомнительного свойства рискуют получить bot-код. Некоторые bot-коды могут рассылать себя через системы распределенного файлового обмена (P2P). Bot-код начинает свою работу с запуска обмена через IRC-канал, объявляя, что машина доступна. С этого момента ЭВМ ждет команд со стороны хакера и может выполнить любую операцию, становясь зомби. Такие зомби могут образовывать целые сети (botnet). Для формирования botnet часто используется целевой фишинг (spearphishing), когда даже опытные эксперты не могут отличить атаку от легального сообщения. При этом может быть предложено зайти на сайт Microsoft для обновления версии Windows, а ссылка содержать в слове microsoft русские буквы "o" вместо латинских, что приведет к тому, что вы попадете на сайт злоумышленника и на вашу машину будет загружен вредоносный код. Одним из средств борьбы с botnet считаются honeynet. Следует иметь в виду, что botnet это нечто большее, чем сумма, составляющих ее частей. Машины - узлы botnet, часто используются для новых атак, минимизируя вероятность выявление истинного атакера. История botnet началась с программы RAT (Remote Access Tool). Как часто это бывает все началось с самых лучших намерений. Администратору сети с узлами, разбросанными на большой территории, нужны были средства удаленного доступа для конфигурации рабочих станций и серверов...
|
|
|
| Botnet сводит на нет возможности ACL и других сходных средств для подавления сетевых атак и SPAM. Дело в том, что, если даже иметь постоянно актуализуемый список IP-адресов всех машин-зомби, включенных в botnet'ы, процессор, осуществляющий такую фильтрацию, будет перегружен. Число машин-зомби по разным оценкам лежит в пределах от 100 до 150 миллионов! |
По данным компании FireEye рекордным числом машин в одной botnet является 10 миллионов. В феврале 2009 эта цифра не превышала двух миллионов. Так что масштаб бедствия растет. Botnet'ы такого масштаба могут при желании блокировать работу практически любого сервис провайдера и любой Интернет-компании (например, eBay, PayPal и, что во многих случай еще более важно, их клиентов). Эффективным средством борьбы с botnet является выявление и подавление работы центров управления такими сетями. Создаются специальные сети для выявления botnet. Самое интересное заключается в том, что 71% пользователей понятия не имеют, что такое botnet (данные на конец октября 2009 года).
|
|
|
Botnet - это распределенная совокупность вычислительных машин, управляемых из единого центра и не являющихся собственностью этого центра. Под это определение безусловно подпадает совокупность машин с ОС Windows. Ведь обновления этой операционной среды производится из единого центра и может выполняться помимо воли владельца такой машины. Вполне можно предположить, что в случае конфликта правительство США может вынудить компанию Microsoft заблокировать работу машин в определенной стране или даже разметить на них жесткие диски. Конечно, это все сугубо гипотетически, но в принципе вполне реализуемо. В сущности совокупность машин с ОС Windows не является вредоносной лишь потому, что компания Microsoft в этом не заинтересована. Смотри также WWW. World Wide Weaponization.
Индустриальный подход к взлому машин предполагает разделение труда, в этом бизнесе сформировались как минимум три группы:
· Исследователи: ищут уязвимости в приложениях и прочих программных продуктах, но, как правило, сами не занимаются взломом. Продают свои находки за деньги различным преступным структурам.
· Фермеры: формируют botnet максимально возможного размера, заражают вредоносными кодами возможно большее число машин по всему миру, пишут программы управления botnet. Для этого они:
o Пытаются извлечь нужную информацию из WEB-серверов.
o Пытаются подобрать параметры доступа путем прямого перебора
o Рассылают SPAM (содержащий вредоносные коды)
o Распространяют любые возможные виды вредоносных кодов
· Дилеры: арендуют botnet (возможно использование технологии российской разработки "partnerka" - совместное использование botnet двумя и более пользователями), осуществляют атаки по заказам клиентов или в собственных коммерческих интересах. К этому классу относятся преступники, которые теми или другими способами завладевают важной информацией и торгуют ей.
|
|
|
Обычно массовые атаки предпринимаются в два этапа. Сначала фермеры наращивают размеры botnet, например, путем манипулирования поисковыми серверами. Многие, вероятно, получали по почте предложение, сделать так, чтобы ваш WEB-сервер попал в десятку самых популярных. Хакеры используют эту же технологию для продвижения своих вредоносных сайтов. "Раскрутке" на поисковых серверах могут быть подвергнуты и вполне легальные, но зараженные ранее сайты. Это приводит к увеличению числа их просмотров и, как следствие, к росту числа зараженных машин. Для аналогичных целей могут использоваться и компании массовой рассылки SPAM с приложениями, содержащими вредоносные коды. На втором этапе дилеры предпринимают атаку, стремясь получить доступ к важной информации. При этом широко используются прокси-серверы, помогающие скрыть истинный источник атаки, и специальные программы, автоматизирующие процесс. Атака может предполагать попытку подбора параметров доступа, когда для этой цели используется порядка десятка машин, разбросанных по всему миру.
|
|
|
