 |
Ransomware, Scareware, Cyberextortion и Rouge Security
|
|
|
|
Название атаки Ransomware происходит от английского слова ransom - выкуп. Эта программа предназначена для вымогательства. После попадания на машину жертвы, программа, например, шифрует рабочие файлы (имеющие определенные расширения). Машина остается в рабочем состоянии, но файлы пользователя недоступны. Ключ или пароль для расшифровки хакер предлагает прислать за вознаграждение. Возможна загрузка какого-то вредоносного кода, например вируса, и предложение избавить клиента от этой напасти за небольшое вознаграждение. Практически такая программа может быть отнесена к категории вируса или сетевого червя, при запуске которого и происходит указанное шифрование файлов. Распространение такого вида атаки получили с мая 2005 года (TROJ.RANSOM.A, Archiveus, Cryzip, MayArchive). Смотри рис. 8А, где владельца сначала запугивают (см. " Cybercriminals extorting money from Android users, Michael Kassner, May 28, 2014).
Рис. 8А. Пример ransomware-экрана
К число таких атак можно отнести таже " ложные программы безопасности " (Rogue Security Programs, их синонимом является Scareware). Эти программы загружают вредоносные программные модули, а затем оповещают пользователя об их наличии, не забыв упомянуть, какие и у кого можно приобрести средства противодействия. Смотри также Pocket E-Guide: How to Prevent Rogue Antivirus Programs in the Enterprise. В 2009 году по данным компании Symantec в мире существовало более 250 фальшивых антивирусных программных пакетов.
Следует иметь в виду, что даже если найденная вами антивирусная программа работает и не содержит вредоносных включений, она не может гарантировать безопасности, хотя бы потому, что редко обновляется или вообще не обновляется. Такая программа может породить ложное чувство безопасности. Не говоря о том, что там может содержаться сознательная дыра для определенного вида вредоносных программ. Потенциальных пользователей может сбивать с толку тот факт, что многие солидные компании также предлагают бесплатные версии таких программ. Всегда возникает вопрос, зачем платить деньги за программу, когда в Интернет предлагается вариант по описанию с той же функциональностью, но совершенно бесплатно? Причины здесь бывают самые разные. Одни компании предлагают пробную версию, будучи уверенными, что через некоторое время клиент приобретет платную версию, ведь пробная версия устареет уже через неделю. Но среди таких предложений все большую долю составляют фальсифицированные антивирусные (antimalware) программы, целью которых является вторжение. Фирменные антивирусы предоставляют комплексные решения, включающие детектирование и блокировку rootkit, встроенный Firewall, эвристические системы распознавания атак нулевого дня и т.д.
|
|
|
Cyberextortion представляет собой атаку или угрозу атаки против сервера или сети предприятия, сопряженную с требованием денег за прекращение атаки. Этот вид атак может иметь много разновидностей. Это может быть DoS-атака, сопряженная с требованием выкупа (модификация ransomware.
Совершая WEB-серфинг по просторам Интернет, человек может попасть на какой-то сайт, который выдаст на экран предупрежедние (см. Social engineering attack: How to remove rogue security software):
Если жертва нажмет на клавишу "REMOVE THREAT" на его машину будет загружена вредоносная программа, например, троянский конь. Время от времени эта программа может уведомлять владельца о якобы уничтоженном вирусе или черве, создавая видимость позитивной работы. А, например, раз в месяц будет предлагать обновить загруженную ранее антивирусную программу. При согласии клиента, он будет получать новую версию вредоносной программы. Иногда за эту программу просят даже заплатить (так больше доверие). Смотри также Symantec Report on Rogue Security Software. За истекший год зарегистрировано 43 миллиона попыток загрузить себе фальшивые антивирусные программы. Легкомыслие интернетчиков беспредельно!
|
|
|
Rootkit
Rootkit пожалуй самый опасный из всех вредоносных кодов, так как его практически невозможно обнаружить и крайне сложно удалить. К счастью написать программу rootkit может только программист хорошо знакомый с программированием на системном уровне. Набор программ, которые разрешают доступ с системными привилегиями. Rootkit обычно содержит в себе spyware, модули записи ввода с клавиатуры и для создания черных ходов, по своему положению в ОС rootkit является системным драйвером. Важной особенностью Rootkit является наличие средств, препятствующих детектированию наличия этих программ, а также их удалению. Версия rootkit Unreal, например, имеет возможность прятать как файлы, так и драйверы, его устройство ориентировано на блокировку работы известных программ детектирования rootkit. Этот набор программ обычно специфичен для операционной среды. Большинство антивирусных и анти-spyware программ не могут его обнаружить. В последнее время новые версии rootkit размещают свои модули в аппаратной памяти компьютерного оборудования. До настоящего времени нет средств для автоматического удаления rootkit. Разработаны варианты rootkit, встраиваемые в аппаратные элементы и модули. Каждое новое поколение rootkit оказывается все более глубоко вмонтированным в операционную систему. Некоторые легальные разработчики приложений используют технику rootkit для предотвращения модификации их программных продуктов пользователями. Последние поколения Rootkit ориентированы на более глубокое проникновение и сращивание с программами операционной среды, они используют новейшие средства и методы, разработанные для обеспечения безопасности. В 2005 году компания BMG Music Entertainment Inc. стала устанавливать rootkit на некоторые свои CD, чтобы предотвратить несанкционированное копирование (см. wp.bitpipe.com). Понятно, что такие действия находятся на грани, а иногда и за гранью закона.
Rootkit имеет две базовые функции: реализацию удаленного доступа/управления через "черный ход" и программное "прослушивание". Смотрите www.rootkit.com.
|
|
|
Rootkit позволяет удаленно управлять компьютером (загружать и исполнять программы, получить доступ к аутентификационной информации, мониторировать активность пользователей и даже менять конфигурацию машины. При таком определении VNC (Virtual Network Computing) является примером rootkit. Т.е. следует ли считать rootkit вредоносной программой, зависит от его реализации и от того, в чьих руках он находится. При определенных обстоятельствах программа типа rootkit может противодействовать вторжениям. Другим примером rootkit можно считать программу компании Sony, противодействующую несанкционированному копированию (см. DRM. Кстати, ни одна антивирусная программа не могла обнаружить программу DRM.
Rootkit в отличие от вирусов и червей не может сам себя рассылать (во всяком случае пока). Система доставки и установки rootkit содержит в себе три составляющие части:
a. скрытую программу занесения (dropper), которая может являться частью, например, макроса, прикрепленному к электронному письму;
b. загрузчика и
c. rootkit.
Dropper запускает программу загрузки и обычно требует помощи жертвы, которую под любым предлогом убеждают кликнуть мышкой на какой-то URL-ссылке. Такая ссылка может содержаться в письме или WEB-странице. Dropper активирует программу-загрузчик (смотри anti-virus rants). Эта программа часто вызывает переполнение буфера, чтобы облегчить преодоление ограничений доступа (нужны системные полномочия), после чего выполняется собственно загрузка rootkit в память машины.
Часто для решения указанных выше проблем преодоления системы защиты ОС используются приемы социальной инженерии, известные уязвимости ОС. Все известные ОС (Linux, BSD, MacOS, Solaris и Windows) уязвимы для Rootkit. Возможны разные варианты реализации эксплойтов. Одним из наиболее изощренных разновидностей rootkit является Mebroot (2007). Он модифицирует сектор диска начальной загрузки и, встраиваясь в один из системных процессов, становится "невидимым". Он может перехватывать пароли и похищать другие конфиденциальные данные. Утилиты анализа сетевого трафика не могут обнаружить деятельность Mebroot, поскольку он хорошо маскирует передаваемую информацию внутри обычного трафика. Одним из лучших детекторов-сканеров rootkit является программа GMer.
|
|
|
Естественен вопрос, что нужно сделать, чтобы предотвратить внедрение Rootkit в ваш компьютер? Ответ достаточно тривиален. Не посещать сомнительные сайты, не открывать приложения писем, пришедших от незнакомых респондентов, своевременно обновлять операционную систему и приложения (для вторжения обычно используются известные уязвимости), применять локальный Firewall и антивирусную программу. Это не защитит вас полностью, но снизит вероятность заражения во много раз. Осторожность и осмотрительность может спасти многие часы, которые потребуются на восстановление или переустановку ОС и приложений.
Для детектирования rootkit надо использовать отдельный, специально сформированный диск, который пригоден для первоначальной загрузки (bootstrap). На этом диске должна быть новейшая версия программы антивирус и антируткит бизнес-класса. Смотри AVG Technologies' (formerly Grisoft) AVG Anti-Virus 8.0,Symantec's Norton AntiVirus 2008 With AntiSpyware и Webroot Software's AntiSpyware Corporate Edition with Antivirus. Программа, размещенная на одном из штатных дисков машины, будет во многих случаях неэффективной, так как некоторые rootkit делают себя невидимыми для средств уровня ОС. Вообще говоря, такой бутабельный диск для детектирования вредоносных программных включений является универсальным и может использоваться для выявления наличия и других вредных кодов. Варианты инструментария можно найти в разделе Средства для борьбы со spyware. Смотри также 10+ things you should know about rootkits иRootkits: Is removing them even possible?.
Примером Rootkit может служить ZeroAccess (смотри Malware B-Z: Inside the Threat From Blackhole to ZeroAccess (Sophos)
В последнее время многие вредоносные программы стали содержать средства маскировки, rootkit в этом отношении не является исключением. Многие программные прерывания ОС имеют предопределенные адреса переадресации. Именно по этим адресам вредоносные коды вносят команды ухода и именно эти адреса используются для выявления наличия вредоносных кодов. Но новейшие версии rootkit научились перехватывать запросы чтения содержимого определенных адресов. Это позволяет ввести в заблуждения программы детектирования rootkit и еще более осложнить борьбу с этими вредоносными программами.
· IM. В этом случае предполагается, что имеются компьютеры с загруженным IM (сервер обмена сообщениями). Если каким-то способом вредоносный код оказывается в одном из компьютеров, то IM-клиент посылает сообщения, содержащие вредоносные ссылки всем адресатам, содержащимся в списке контактов. Если получатель воспользуется такой ссылкой (сообщение может быть послано от имени его хорошего знакомого), его машина окажется зараженной.
|
|
|
· Rich content. Новым подходом для загрузки вредоносных кодов является использование файлов, содержащих форматированные тексты (например, PDF, PostScript). Простого открытия такого файла достаточно для исполнения кода dropper. PDF-файлы имеют встроенный контроль, позволяющий ограничить и мониторировать доступ, но не все владельцы файлов этим пользуются.
Существует несколько разновидностей rootkit:
· Пользовательская модификация. Эта разновидность rootkit работает с административными привилегиями. Это позволяет данной разновидности rootkit модифицировать параметры безопасности и скрывать процессы, файлы, системные драйверы, сетевые порты и даже системные сервисы. Эта разновидность rootkit остается инсталлированной на заряженной машине путем копирования нужных файлов на жесткий диск и перезагрузки при каждом включении компьютера. Но такой rootkit может быть детектирован с помощью антивирусных средств. Одной из известных реализаций rootkit данного типа является Hacker Defender. Одним из первых детекторов rootkit является Rootkit Revealer.
· Модификация kernel. Хакеры понимали, что версия программы, работающей в пользовательском режиме, может быть обнаружена программой работающей на системном уровне (kernel). Это стимулировало разработку kernel rootkit, работающий на системном уровне, что делает его "невидимым" и подрывает абсолютное доверие к ОС. Примером такого rootkit может служить Da IOS rootkit, разработанный Себастьяном Муницем и ориентированный на операционную систему IOS CISCO, что делает его особенно опасным. Недостатком этого rootkit является его нестабильность. Если вы видите голубой экран без какой-либо разумной причины, это может быть результатом работы kernel rootkit.
· Гибридный rootkit. Позднее хакеры разработали новую разновидность rootkit, совмещающую преимущества предыдущих двух rootkit (стабильность и невидимость). Эта модификация в настоящее время является наиболее популярной.
· Rootkit firmware. Это уже следующий уровень изощренности. Rootkit в этом случае может быть спрятан в firmware, когда компьютер выключается. При включении машины rootkit загружается заново. Видоизмененное firmware может храниться внутри программы микропроцессора или интерфейса PCI. Даже если специализированная программа найдет и удалит rootkit, при очередной перезагрузке он будет восстановлен. На эту тему существует интересная публикация Джона Хисмана (J.Heasman) "Implementing and Detecting a PCI Rootkit".
· Виртуальные rootkit. Последнее достижение в технологии rootkit. Виртуальный rootkit работает аналогично аппаратным программам в манере программ виртуальных машин (VMware). Эта технология обеспечивает практическую невидимость вредоносного кода. Примером такого rootkit может служить The Blue Pill.
|
|
|
