 |
Новые методы воровства WebMoney
|
|
|
|
В конце 2006 года был обнаружен новый, достаточно оригинальный метод воровства денег в системе WebMoney. Он основан на внедрении на компьютер пользователя небольшой троянской программы, которая отслеживает, открыто ли окно программы WebMoney. В случае если оно открыто, осуществляется мониторинг буфера обмена. При обнаружении в буфере текста, начинающегося с «Z», «R» или «E», троянская программа считает, что это номер кошелька получателя, который пользователь скопировал в буфер обмена для ввода в окне WebMoney. Этот номер удаляется из буфера и заменяется на номер «Z», «R» или «E» кошелька злоумышленника. Метод крайне прост в реализации и может быть достаточно эффективным, поскольку номера кошельков действительно чаще всего не вводятся, а копируются через буфер и далеко не все пользователи тщательно проверяют, тот ли номер кошелька вставился из буфера. Данный троян является наглядной демонстрацией изобретательности разработчиков троянских программ.
Детектирование отладчиков и виртуальных ПК
Методики борьбы с отладчиками, эмуляторами и виртуальными компьютерами известны давно. Их применение затрудняет анализ вредоносной программы для начинающего специалиста, поэтому подобные технологии давно и достаточно успешно применяются разработчиками вредоносного ПО. Однако за прошедший год наметилась новая тенденция: вредоносные программы стали пытаться определять тип компьютера — реальное это железо или эмуляция, созданная программами типа Virtual PC или VMWare. Подобные виртуальные ПК довольно активно применялись и применяются администраторами для изучения подозрительных программ. При наличии проверки в случае запуска на виртуальном ПК (как вариант — под отладчиком) вредоносная программа может просто аварийно завершить свою работу, что помешает произвести ее изучение. Кроме того, подобная проверка нанесет удар по системам типа Norman Sandbox, поскольку их принцип эвристического анализа, в сущности, состоит в запуске изучаемой программы на эмуляторе и исследовании ее работы. В конце года специалисты института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) опубликовали весьма интересный отчет с описанием техники обнаружения виртуальных машин и борьбы с методами обнаружения. Документ можно скачать с сайта SANS — http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf.
|
|
|
Спам-боты и троянские прокси
Спам-бот — это автономная троянская программа, предназначенная для автоматической рассылки спама с пораженного компьютера. Троянский прокси — это вредоносная программа с функциями прокси-сервера, ее функционирование на пораженном компьютере позволяет злоумышленнику использовать его как прокси-сервер для рассылки спама, проведения атак на другие компьютеры и совершения иных противоправных действий. Многие современные спам-боты активно маскируют свое присутствие по руткит-технологиям и защищаются от удаления. Статистика показывает, что в месяц обнаруживается более 400 ITW-разновидностей подобных программ, из которых порядка 130 являются новыми, уникальными.
Спам-бот представляет большую угрозу для корпоративных сетей, поскольку его работа приводит к следующим последствиям:
- большому расходу сетевого трафика — в большинстве городов России пока отсутствуют безлимитные тарифы, поэтому наличие в сети нескольких пораженных компьютеров может привести к ощутимым финансовым убыткам за счет расходования трафика;
- многие корпоративные сети для выхода в Интернет используют статические IP-адреса и собственные почтовые серверы. Следовательно, в результате деятельности спам-ботов эти IP-адреса быстро попадут в черные списки антиспам-фильтров, а значит, почтовые серверы в Интернете перестанут принимать почту от корпоративного почтового сервера компании. Исключить свой IP-адрес из черного списка можно, но достаточно сложно, а в случае наличия в сети работающих спам-ботов это будет временной мерой.
Методы противодействия спам-ботам и троянским прокси весьма просты: необходимо блокировать порт 25 для всех пользователей, а в идеале — вообще запретить им прямой обмен с Интернетом, заменив его работой через прокси-серверы. Например, в Смоленскэнерго все пользователи работают с Интернетом только через прокси с системой фильтров, причем ежедневно производится полуавтоматическое изучение протоколов, которое выполняется дежурным администратором-системщиком. Применяемый им анализатор позволяет легко обнаружить аномалии в трафике пользователей и своевременно принять меры по блокированию подозрительной активности. Кроме того, отличные результаты дают IDS-системы (Intrusion Detection System), изучающие сетевой трафик пользователей.
|
|
|
Распространение вредоносных программ при помощи интернет-пейджеров
По собранной в течение года статистике интернет-пейджеры все чаще применяются для внедрения вредоносных программ на компьютеры пользователей. Методика внедрения представляет собой классическую социальную инженерию. С зараженного компьютера от имени ICQ его владельца вредоносная программа рассылает сообщения, призывающие под тем или иным предлогом открыть указанную ссылку. Ссылка ведет на троянскую программу (обычно со смысловым именем типа picture.pif или flash_movie.exe) или на сайт, страницы которого содержат эксплойты. Следует особо отметить тот факт, что распространяются именно ссылки на вредоносные программы, а не их тела.
За прошедший год было зафиксировано несколько эпидемий, основанных на таком принципе. В России пострадавшими в основном были пользователи ICQ, а распространялись таким образом чаще всего программы категории Trojan-PSW — троянские программы, ворующие пароли пользователя. Автор в среднем получает от одного до десяти сообщений в день, причем к концу года наблюдается активизация подобных рассылок.
Защита от вредоносных программ данного типа крайне проста — не следует открывать подобные ссылки. Однако статистика показывает, что любопытство пользователей нередко перевешивает, там более если сообщения приходят от имени хорошо известного им человека. В корпоративной среде эффективной мерой является запрет на применение интернет-пейджеров, поскольку в плане безопасности они являются идеальным каналом утечки информации.
|
|
|
USB flash-носители
Существенное падение цен на flash-носители (а также рост их объема и быстродействия) привело к закономерному эффекту — бурному росту их популярности среди пользователей. Соответственно разработчики вредоносных программ стали создавать программы, заражающие flash-диски. Принцип работы таких программ крайне прост: в корне диска создаются два файла — текстовый файл autorun.inf и копия вредоносной программы. Файл autorun применяется для автозапуска вредоносной программы при подключении диска. Классическим примером такой вредоносной программы является почтовый червь Rays. Важно отметить, что в качестве носителя вируса могут выступать цифровой фотоаппарат, многие сотовые телефоны, MP3-плееры и КПК — они, с точки зрения компьютера (и соответственно червя), неотличимы от flash-диска. При этом наличие вредоносной программы никак не сказывается на работе этих устройств.
Мерой защиты от подобных программ может служить отключение автозапуска, применение антивирусных мониторов для своевременного обнаружения и удаления вируса. Перед угрозой притока вирусов и утечки информации многие компании идут на более жесткие меры — блокируют возможность подключения USB-устройств при помощи специализированного ПО или блокировки USB-драйверов в настройках системы.
Заключение
В данной статье были рассмотрены основные направления развития вредоносных программ. Их анализ позволяет сделать несколько прогнозов:
- можно предположить, что будет активно развиваться направление маскировки от сигнатурных сканеров и защиты от запуска на виртуальных компьютерах и эмуляторах. Следовательно, для борьбы с такими вредоносными программами на первое место выходят различные эвристические анализаторы, брандмауэры и системы проактивной защиты;
- наблюдается явная криминализация отрасли разработки вредоносных программ, растет доля спам-ботов, троянских прокси, троянских программ для воровства паролей и персональных данных пользователей. В отличие от вирусов и червей, подобные программы могут нанести пользователям ощутимый материальный ущерб. Развитие отрасли троянских программ, осуществляющих шифровку данных пользователям, заставляет задуматься о целесообразности периодического резервного копирования, которое сводит фактически к нулю ущерб от подобного трояна;
- анализ случаев заражения компьютеров показывает, что нередко злоумышленники осуществляют взлом web-серверов для размещения на них вредоносных программ. Такой взлом гораздо опаснее так называемого дефейса (подмены стартовой страницы сайта), поскольку компьютеры посетителей сайта могут подвергаться заражению. Можно предположить, что данное направление будет развиваться весьма активно;
- flash-диски, цифровые фотоаппараты, MP3-плееры и КПК становятся все большей угрозой для безопасности, поскольку могут выступать носителями вирусов. Многие пользователи недооценивают опасность, исходящую, скажем, от цифрового фотоаппарата, — однако автору за 2006 год довелось изучить не менее 30 инцидентов, связанных с подобными устройствами;
- анализ устройства и принципов работы вредоносных программ показывает, что защититься от них можно без антивируса — они просто не смогут функционировать в грамотно настроенной системе. Основное правило защиты — это работа пользователя под ограниченной учетной записью, которая, в частности, не имеет привилегий на запись в системные папки, на управление службами и драйверами, а также на модификацию системных ключей реестра.
|
|
|
|
|
|
