 |
Тема 10 Вредоносные программы и их классификация.
|
|
|
|
Корпорация Microsoft применяет термин malware, определяя его следующим образом: «malware — это сокращение от malicious software, обычно используемое как общепринятый термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру, серверу, или компьютерной сети независимо от того, является ли оно вирусом, шпионской программой и т. д. ».
Вред, наносимый подобным программным обеспечением, может заключаться в ущербе:
• программно-аппаратному обеспечению атакуемого нарушителем компьютера (сети);
• данным пользователя компьютера;
• самому пользователю компьютера (косвенно);
• пользователям других компьютеров (опосредованно).
Конкретный ущерб пользователям и (или) владельцам компьютерных систем и сетей может заключаться в следующем:
• утечке и (или) потере ценной информации (в том числе финансовой);
• нештатном поведении установленного в системе программного обеспечения;
• резком росте входящего и (или) исходящего трафика;
• замедлении или полном отказе работы компьютерной сети;
• потере рабочего времени сотрудников организации;
• доступе нарушителя к ресурсам корпоративной компьютерной сети;
• риске стать жертвой мошенничества.
К признакам вредоносных программ можно отнести следующее:
• скрытие своего присутствия в компьютерной системе;
• реализацию самодублирования, ассоциации своего кода с другими программами, перенос своего кода в не занимаемые ранее области памяти компьютера;
• искажение кода других программ в оперативной памяти компьютера;
• сохранение данных из оперативной памяти других процессов в других областях памяти компьютера;
|
|
|
• искажение, блокирование, подмену сохраняемых или передаваемых данных, полученных в результате работы других программ или уже находящихся во внешней памяти компьютера;
• еверное информирование пользователя о действиях, якобы выполняемых программой.
Вредоносная программа может обладать только одним из перечисленных выше признаков или их комбинацией. Очевидно, что приведенный выше список не является исчерпывающим.
По наличию материальной выгоды вредоносное программное обеспечение (ПО) может быть разделено на:
• не приносящее прямую материальную выгоду тому, кто разработал (установил) вредоносную программу (разработанное по мотивам хулиганства, «шутки», вандализма, в том числе на религиозной, националистической, политической почве, самоутверждения и стремления подтвердить свою квалификацию);
• приносящее прямую материальную выгоду нарушителю в виде хищения конфиденциальной информации, включая получение доступа к системам банк—клиент, получение PIN-кодов кредитных карт и других персональных данных пользователя, а также получение контроля над удаленными компьютерными системами с целью распространения спама с многочисленных «зараженных» компьютеров (компь- ютеров-зомби).
По цели разработки вредоносные программы могут быть разделены на:
• ПО, которое изначально разрабатывалось специально для получения несанкционированного доступа к информации, хранимой на ЭВМ, с целью причинения ущерба владельцу информации и (или) владельцу ЭВМ (сети ЭВМ);
• ПО, которое изначально не разрабатывалось специально для получения несанкционированного доступа к информации, хранимой на ЭВМ, и изначально не предназначалось для причинения ущерба владельцу информации и (или) владельцу ЭВМ (сети ЭВМ).
В последнее время наблюдается криминализация индустрии создания вредоносных программ, выражающаяся в следующем:
|
|
|
• похищении конфиденциальной информации (коммерческой тайны, персональных данных);
• создании зомби-сетей («ботнет»), предназначенных для рассылки спама, распределенных атак с вызовом отказа в обслуживании (DDoS-атак), внедрения троянских прокси-серверов;
• шифровании пользовательской информации с последующим шантажом и требованием выкупа;
• атаках на антивирусные продукты;
• так называемом флашинге (постоянном отказе в обслуживании — Permanent Denial of Service — PDoS).
Атаки с вызовом отказа в обслуживании используются в настоящее время не столько как инструмент для вымогания денег у жертв, сколько как средство политической и конкурентной борьбы. Если ранее DoS-атаки были орудием в руках исключительно хакеров-вымогателей или хулиганов, то теперь они стали таким же товаром, как спам-рассылки или создание на заказ вредоносных программ. Реклама услуг DoS-атак стала обычным явлением, а цены уже сопоставимы с ценой организации спам-рассылки.
Компании, специализирующиеся на вопросах компьютерной и сетевой безопасности, обращают внимание на новый тип угроз — так называемый постоянный отказ от обслуживания (РОоБ). Новый вид атак получил и другое название — флашинг (рЫа5Ып§). Потенциально он способен нанести системе гораздо больше вреда, чем любой другой вид сетевой вредоносной активности, поскольку направлен на вывод из строя компьютерного оборудования. РОоБ-атаки более эффективны и при этом дешевле, чем традиционные виды атак, при которых хакер пытается установить на системе жертвы вредоносное ПО. При флашинге целью атаки становятся программы во флэш-памяти ВЮБ и драйверы устройств, которые, будучи повреждены, нарушают работу устройств и потенциально способны вывести их из строя физически.
Еще один вариант атак, направленных на похищение конфиденциальной информации, состоит в том, что нарушители внедряют в информационную систему компании вредоносную программу, способную блокировать работу системы. На следующем этапе в атакуемую компанию приходит письмо от преступников с требованием денег за пароль, который позволит разблокировать компьютерную систему предприятия. Еще один похожий способ незаконного заработка в сети — запуск в компьютер троянских программ, способных шифровать данные. Ключ с расшифровкой также высылается преступниками за определенное денежное вознаграждение.
|
|
|
К интересующим нарушителя персональным данным пользователя атакуемого компьютера относятся:
• хранящиеся в памяти компьютера документы и другие данные пользователя;
• имена учетных записей и пароли для доступа к различным сетевым ресурсам (системам электронных денег и платежей, Интернет-аукционам, Интернет-пейджерам, электронной почте, Интернет-сайтам и форумам, онлайн-играм);
• адреса электронной почты других пользователей, 1Р-адреса других компьютеров сети.
Благодаря новым возможностям, предоставляемым сетью Интернет и в особенности повсеместному распространению социальных сетей, все большее количество людей регулярно обращаются к Интернет-ресурсам и становятся жертвами все более изощренных атак, целью которых является как похищение конфиденциальных данных пользователей, так и «зомбирование» их компьютеров с целью последующего использования их ресурсов нарушителями.
Эффективная работа «зомби»-сети определяется тремя составляющими, из которых она условно состоит:
• программой-загрузчиком, задачей которой является распространение собственного кода и кода программы-бота, выполняющей основную работу;
• программой-ботом, выполняющей сбор и передачу конфиденциальной информации, рассылку спама, участие в ЭЭоБ-атаке и другие действия, возложенные на нее нарушителем;
• управляющим модулем ботнета, собирающего информацию от программ-ботов и рассылающего им обновления и при необходимости новые конфигурационные файлы, «перенацеливающие» программы-боты.
Примерами противодействия вредоносных программ установленному у пользователя антивирусному программному обеспечению являются:
• принудительная остановка работы антивирусного сканера или монитора;
• изменение настроек системы защиты для облегчения внедрения и функционирования вредоносной программы;
• автоматическое нажатие на кнопку «Пропустить» после вывода пользователю предупреждения об обнаруженной вредоносной программе;
|
|
|
• скрытие своего присутствия в системе (так называемые «руткиты»);
• затруднение антивирусного анализа с помощью дополнительного преобразования вредоносного кода (шифрования, запутывания или обфускации, полиморфизма, упаковки).
До последних лет работа антивирусных программ была основана исключительно на анализе содержимого проверяемого объекта. При этом более ранний сигнатурный способ обнаружения вирусов (так называемое сканирование) использовал поиск фиксированных последовательностей байт, зачастую по определенному смещению от начала объекта, содержащихся в бинарном коде вредоносной программы. Появившийся несколько позже эвристический анализ также проверял содержимое проверяемого объекта, но опирался уже на более свободный, вероятностный поиск характерных для потенциально вредоносной программы последовательностей байт. Очевидно, что вредоносная программа легко обойдет такую защиту, если каждая ее копия будет представлять собой новый набор байт.
|
|
|
