 |
Path Traversal (slash-атаки)
|
|
|
|
Атаки типа Path Traversal имеют своей целью получение доступа к файлам и каталогам, которые расположены вне пределов, определенных конфигурацией (web root folder). При просмотре приложения атакер ищет абсолютные проходы к файлам, размещенным на машине WEB-сервера. Путем манипулирования переменными, которые указывают на положение файлов, с помощью последовательностей "../" и их вариаций, может быть получен доступ к любым файлам и каталогам, имеющимся в системе, включая исходные коды приложений, конфигурационные и критические системные файлы с ограниченным доступом. Атакер использует в своих запросах последовательности типа “../”, чтобы попасть в корневой каталог.
Эта атака может быть предпринята с использованием вредоносного кода, встроенного в строку прохода, как это делается в атаке Resource Injection. Для выполнения атаки необязательно использовать какое-то специальное программное средство; атакеры часто используют поисковые серверы, чтобы детектировать все присутствующие URL.
Эта атака известна также под именем "dot-dot-slash”, “directory traversal”, “directory climbing” и “backtracking”. Смотри и Slash-атаки (мой сервер хакеры также не забывают).
Возможны варианты представления "../" в виде %2e%2e%2f,..%c0%af или %2e%2e/. возможны запросы типа:
http://some_site.com.br/../../../../some dir/некоторый_файл или
http://some_site.com.br/some-page?page=http://other-site.com.br/other-page.htm/malicius-code.php,
http://example/../../../../../etc/passwd http://example/..%255c..%255c..%255cboot.ini http://example/..%u2216..%u2216someother/file и т.д.
Аналогичной цели можно попытаться достичь используя строку http://vulnerable-page.org/cgi-bin/main.cgi?file=main.cgi.
Нежелательные программы (PUP)
К числу нежелательных программ PUP (Potentially Unwanted Program) можно отнести:
· Утилиты, являющиеся частями rootkit (программ, которые являются вредоносными и в то же время практически недетектируемыми), или троянскими конями удаленного доступа, модифицированными так чтобы скрыть их присутствие.
|
|
|
· Программы, которые в момент создания были призваны облегчить администрирование или обмануть систему безопасности для того чтобы разрешить удаленное администрирование. К этой разновидности относятся различные взломщики паролей, утилиты удаленного управления и запуска процессов.
Существуют программы, которые создавались как хакерские, но позднее были адаптированы для облегчения работы администраторов, например, Netbus.
Ясно, что провести четкую границу между вредоносными кодами, написанными молодыми людьми антисоциального толка, и сходными программами, созданными легальными фирмами, становится все труднее (а иногда это сделать просто невозможно). Примером программ последнего типа могут служить утилиты "виртуального маркетинга". Здесь имеет место использование ресурсов пользователя для извлечения выгоды без уведомления последнего. Используют ли авторы malware технологии виртуального маркетинга или разработчики этой технологии применяют опыт хакеров для достижения своих целей, не вполне ясно. Очевидно, что и те, и другие ведут войну за овладение ресурсами вашего компьютера для извлечения собственной выгоды.
Классификацию этих программ усложняет тот факт, что многие их вредоносных утилит совмещают особенности самых разных хакерских кодов в любых комбинациях. Например, некоторые разновидности троянских коней могут сами себя рассылать с помощью электронной почты, другие, как например троянский конь SpamThru, осуществляет рассылку SPAM и блокирует работу антивирусных систем. Если традиционный вирус представляет собой один исполняемый файл (.exe), то современная версия предполагает встраивание различных программных и информационных модулей в несколько других программ и конфигурационные массивы. Эти действия, помимо прочего, способствуют сокрытию факта заражения и препятствуют удалению вредоносных включений.
|
|
|
Вредоносные программы могут выполнять следующие функции:
· Инсталляцию - вход в систему и установку или модификацию некоторой программы.
· Обследование - выявление новых мишеней для атаки (характерно для вирусов).
· Копирование - репликация программы в заданном объекте-мишени (характерно для вирусов).
· Внедрение - встраивание в код или данные безобидных вставок, которые предоставляют привилегии или обеспечивают сокрытие определенных действия, или получение некоторых данных, важных для хакера.
· Транспортировка данных - передача информации третьей стороне или получение команд от третьей стороны.
Программы, которые реализуют хотя бы одну из названных выше функций могут быть смело отнесены к потенциально вредоносным. Но и некоторые другие особенности могут отнести код к категории потенциально опасных. Например, сокрытие процессов, файлов, сервисов, регистров или ключей, а также блокировка работы Firewall, антивирусных программ, переадресация или пересылка персональных данных. Анализ вторжений показывает, что успеху часто способствует наличие на машине клиентского обеспечения для файлового обмена по схеме P2P. Широкая популярность файлообменных сетей, базирующихся на технике P2P, а также P2P-телевидение весьма способствуют этому.
Введем определение некоторых классов потенциально опасных кодов (PUP).
Spyware
Spyware - это программа, в функции которой входит скрытная передача персональной информации третьей стороне, без ведома пользователя. Впервые spyware была идентифицирована в 2002 году. Первоначально многие антивирусные компании рассматривали ее как новую разновидностью вируса. Надо сразу сказать, что цели создателей вирусов и spyware принципиально различны. Если разработчиками вирусов являются хулиганы, честолюбцы, искатели минутной славы, то создатели spyware практически всегда преследуют корыстные цели, иногда они работают по заказу фирмы-нанимателя или рекламодателя. Да и по поведению вирусы и spyware совершенно различны. Вирусам присущи механизмы самораспространения, а для spyware очень часто требуется некоторая форма сотрудничества со стороны жертвы. Spyware часто является неотделимой частью freeware. Смотри также www.trendmicro.com.
|
|
|
Во многих случаях spyware функционально тождественна троянскому коню. Но сплошь и рядом она содержит в себе черты adware (выявление вкусов и интересов клиентов, при этом не следует полагаться в это случае на ее травоядный характер). Чаще всего spyware так или иначе использует браузер (см.antispyware). Как правило эти программы предпринимают меры, препятствующие ее обнаружению и удалению. В последнее время spyware стала основным средством сетевого шпионажа. Функциональность программы может варьироваться в широких пределах. Заражение возможно при посещении сомнительных WEB-сайтов, через электронную почту, посредством IM (Instant Messaging), воспользовавшись бесплатным программным обеспечением. Каждый месяц легкомысленные пользователи посещают 285 миллионов сомнительных сайтов. Одним из способов заражения является drive-by download, когда вредоносная программа загружается на машину жертвы при просмотре WEB-страницы или при прочтении почты, содержащей HTML-фрагменты. Вредоносные программы часто содержатся на серверах бесплатного программного обеспечения. Компании, производящие бесплатные программы, часто проплачиваются фирмами рекламодателями за каждый зараженный компьютер, позволяющий доставлять рекламу пользователю машины. Файлы, образующие код spyware, могут быть разбросаны по жесткому диску и способны к самовосстановленияю некоторых уничтоженных фрагментов. Особый класс spyware образуют RAT (Remote Access Trojan), предназначенные для формирования люков (черных входов в программу). В машине spyware может иметь вид обычной библиотеки DLL. Принципиальным отличием spyware от вируса является отношение создателя этих программ к деньгам. Разработчик spyware делает это исключительно ради денег, разработчиком вируса часто движит желание самоутверждения или славы. Лучшей защитой от spyware является оборона периметра с фильтрацией всех подозрительных URL. Это попутно защитит вашу сеть от многих других видов malware.
|
|
|
Заражение spyware может произойти, когда при просмотре какого-то сайта вам предлагают в pop-up окне нажать "невинную" кнопку или (или Continue). Может поступить уведомление, что на вашей машине обнаружен вирус и далее вас спрашивают: "Удалить его?". Если вы подтвердите это действие, к вам может быть загружен вредоносный код. В последнее время spyware стали использовать и для атак DoS.
| Любители всего бесплатного должны задумываться по поводу мотивов владельцев программ, ведь написание и отладка программы стоят не малых денег, да и содержание самого WEB-сервера чего-то стоит... Разумеется, это касается программ, детектирующих spyware с бесплатным доступом. Такая программа, что-то найдет и удалит, но с большой вероятностью, что-то другое установит. И еще не известно, что лучше. |
Но не следует думать, что кража персональных данных (ИНН, номера и серии паспорта, номера мобильного телефона, кредитной истории, адреса проживания, адреса e-mail и пр.) производится только в госучреждениях, после чего появляются на рынках в виде СD. Существует много легальных и полулегальных источников этих данных. Прежде всего это Интернет (серверы "Одноклассники", "Однокурсники", различные серверы бюро знакомств и т.д.). В каждом из таких источников трудно почерпнуть исчерпывающие данные о каком-то конкретном человеке, но сопоставление данных из нескольких источников может дать многое. В российских условиях все много проще, так как еще не известны случаи, когда виновники краж персональных данных и передачи их для перепродажи на рынках были хоть как-то наказаны. CD с базами данных министерства налогов и сборов, МВД, пенсионного фонда, фонда имущества и пр. может купить любой желающий за 2-3 сотни рублей. Но мере роста кредитного бизнеса и более широкого распространения кредитных карт следует ожидать бума такого рода преступлений. В качестве примера можно привести случай, когда репортер BBC смог оформить водительское удостоверение на имя министра внутренних дел со своей фотографией (данные из статьи журнала Network Security, N1, 2008). И это в стране, где к персональным данным относятся куда менее легкомысленно чем в РФ. Срок наказания в Англии за такое преступление от 2 лет. Так что уже сегодня нужно всерьез задуматься о всесторонней защите персональных данных (ведь многие хранят всю перечисленную выше информацию в файлах на своих РС).
По данным Microsoft 50% разрушений ОС или приложений у клиентов так или иначе сопряжено со spyware. Еще в 2003 году до 90% всех компьютеров содержали ту или иную программу типа spyware. Как правило пользователь не подозревает о наличие такой программы в компьютере до тех пора его работа не станет совершенно неустойчивой. Для электронной коммерции этот вид атак особенно губителен, так как подрывает доверие клиентов (но и кража интеллектуальной собственности в любых сферах предпринимательства подрывает стабильность и основы честной конкуренции). В США в настоящее время готовятся специальные законы для пресечения деятельности создателей и распространителей spyware. В настоящее время существует три принципа детектирования spyware:
|
|
|
1. По сигнатуре (распознавание определенных фрагментов кода).
2. По производимым действиям (например, перехват прерываний при нажатии клавиш - keylogger).
3. По результатам анализа действий с учетом контекста. Adobe Photoshop также может перехватывать прерывания от клавиатуры, но это не означает, что это работает spyware. Сигнал тревоги выдается, если подозрительные действия производятся при наличии (или отсутствии) определенных процессов.
Атаки нулевого дня
Атаками нулевого дня считаются атаки, для которых хакер только что разработал программное обеспечение, и сигнатуры которых отсутствуют в базах данных IDS/IPS и других средств детектирования и противодействия. По среднестатистическим данным такие атаки остаются в сети не детектируемыми до 348 дней! Таким образом у хакера - изобретателя такой атаки имеется почти год для того чтобы безнаказанно творить бесчинство. Следует также иметь в виду, что по данным компании IBM ежегодно выявляется 139362 уязвимости, данные о которых не публикуются. Полное же число вновь создаваемых атак во много раз больше. Вредоносные программы часто снабжаются специальными средствами автоматической модификации, что препятствует определению их сигнатуры. Сегодня (2010 год) время жизни конкретной версии вредоносного кода составляет в среднем около трех часов, что приводит к экспоненциальному росту множества разнообразных типов malware (смотри "Back to the future", журнал "Network Security", N1. 2010). Предсказание же новых угроз столь же трудно, как точный прогноз погоды.
| Таким образом любая машина, подключенная к Интернет, несмотря на наличие Firewall, антивирусной защиты и пр. совершенно беззащитна и может быть в любой момент превращена в зомби. |
Adware (Madware) и Grayware
Программа, основной функцией которой является получение выгоды путем рекламирования чего-то пользователю компьютера, где она установлена (advertisement software). Такая программа может быть установлена поставщиком компьютера или продавцом. Непосредственной угрозы adware не представляет, но слишком полагаться на это не следует. Adware может потреблять мощность процессора и полосу внешних каналов. Программа не предполагает передачи персональной информации, хотя полностью этого исключить нельзя. В среднем на каждом компьютере присутствует 13 adware (данные McAffe Research на конец 2004 года).
Adware является частным случаем Grayware чего-то раздражающего и абсолютно нежелательного. Это могут быть и всевозможные шутливые программы, которые безвредны, но могут поглощать ресурсы и отвлекать от дела.
В последнее время (2013г) появились особо агресивные версии рекламных программ, которые получили название madware (агресивно используют рекламные библиотеки, в том числе размещенные в Интернет). Эти программы могут воздействовать на смартфоны и планшеты (Android).
Взломщик паролей
Программа, созданная для того, чтобы легальный пользователь мог восстановить забытый пароль, и использующая, например, файл passwd. В руках атакера то же самое средство может использоваться для получения доступа к конфиденциальной информации.
|
|
|
