Искусство цифровой самозащиты
Шрифт:
Одним из основоположников известных троянов стал PC-Write Trojan (1986). Текстовый редактор PC-Write был одной из первых свободно распространяемых shareware [7] программ. PC-Write Trojan маскировался как версия 2.72 текстового редактора PC-Write, хотя сами создатели никогда не выпускали такую версию. Пользователь думал, что запускает новую версию условно-бесплатной программы, а по факту запускал троян на своем компьютере. После запуска троян уничтожал все файлы на диске.
7
Shareware (или условно-бесплатные программы) – это коммерческое ПО с безвозмездным использованием. Однако, как правило, либо функциональность таких программ ограничена, либо они предоставляются бесплатно на испытательный период, который заканчивается по истечении определенного количества дней.
Своего первого трояна я написал еще в 1998 году. Интернет тогда у нас был через обычные телефонные модемы по проводным телефонным линиям. Скорость по такому интернет-соединению достигала максимум 56 кбит/c, т. е. вы могли скачивать всего 7 килобайт в секунду, и то в лучшем случае.
У
8
Кингисепп (до 1922 года – Ямбург[7]) – город (с 1784 года) в России, административный центр Кингисеппского района Ленинградской области и муниципального образования Кингисеппское городское поселение. Основан новгородским боярином Иваном Фёдоровичем как крепость Ям в 1384 году.
9
ООО «Промышленная Группа «Фосфорит» – один из ведущих производителей фосфорных удобрений и кормовых фосфатов на Северо-Западе России, а также фосфоритной муки, серной и фосфорной кислот для нужд собственного производства. Его доля в российском производстве фосфорных удобрений составляет более 10 %.
10
UUCP (сокр. от англ. Unix-to-Unix CoPy) – команда копирования файлов между двумя компьютерами под управлением операционной системы UNIX, использующая одноименный протокол. Позже появились реализации этого протокола под другие операционные системы, в том числе DOS, Windows, OS/2.
11
Паскаль (англ. Pascal) – один из наиболее известных языков программирования, используется для обучения программированию в старших классах и на первых курсах вузов, является основой для ряда других языков.
Следующий мой троян использовался как загрузчик для спам-бота [12] Festi. Задача трояна была скрытно установить бота на компьютер пользователя. Вот только одна проблема: начиная с Windows Vista Microsoft встроила в операционную систему UAC [13] , который блокировал установку драйверов-руткитов.
Нужно было получить права администратора. И один из таких способов – социальная инженерия. Троян-загрузчик притворялся обновлением Adobe Flash Player [14] и при нажатии на Install запрашивал те самые права администратора, что уже не вызывало подозрений у пользователя. Далее троян имитировал процесс обновления и закрывался, выполнив свою задачу.
12
Спам-бот – это компьютерная программа или группа (пакет) компьютерных программ основной или единственной целью которой является автоматизированная рассылка рекламных сообщений – спама.
13
Контроль учетных записей пользователей (англ. User Account Control, UAC) – компонент операционных систем Microsoft Windows, впервые появившийся в Windows Vista. Этот компонент запрашивает.
14
Adobe Flash (ранее – Macromedia Flash или просто Flash) – мультимедийная платформа компании Adobe Systems для создания веб-приложений или мультимедийных презентаций. Использовалась для создания рекламных баннеров, анимации, игр, а также воспроизведения на веб-страницах видео- и аудиозаписей.
Поддержка Adobe Flash была прекращена 31 декабря 2020 года. С 12 января 2021 года при попытке запуска swf-файла через Adobe Flash Player вместо него будет загружена лишь кнопка, ведущая на страницу Adobe с информацией об окончании жизненного цикла платформы.
Этот пример хорошо иллюстрирует природу троянской программы: замаскироваться под видом чего-то вполне легального и выполнить некоторые действия без ведома и разрешения пользователя. Такие программы в подавляющем большинстве случаев служат для вредоносных целей.
Виды троянских программ:
• Удаленный доступ (Backdoors)
Бэкдоры открывают злоумышленникам доступ к управлению зараженным компьютером. Злоумышленник может делать что угодно на захваченном ПК – например, копировать файлы, делать снимки экрана. Так очень часто начинается взлом целой сети предприятия. На зараженной машине находят доступы от других компьютеров в сети – рабочих станций, баз данных, почтовых серверов – и устанавливают на них, например, шифровальщика.
• Дроппер (Dropper)
Название происходит
• Загрузчик (Loader)
Так же, как и дроппер, может запускать на инфицированном компьютере произвольный код без ведома и согласия пользователя. Но, в отличиe от дроппера, загрузчик остается резидентным в памяти и может загрузить произвольный файл с удаленного сервера злоумышленника и выполнить его на целевой машине. Обычно загрузчиками пользуются поставщики загрузок (installs), которые продают эти загрузки на теневых форумах. Но об этом мы поговорим позже.
• Банковские трояны
Банковские трояны встречаются наиболее часто. Их используют злоумышленники для кражи доступов в онлайн-банки, платежные системы, а также для кражи номеров кредитных карт. Вообще такие трояны обычно крадут доступы от любых сайтов, будь то ваш личный счет в PayPal или ваш аккаунт на mail.ru. Периодически полученные данные отправляются на удаленный сервер, контролируемый злоумышленником. На языке кардеров [15] подобные данные называются логами [16] .
15
Кардер (англ. Carder) – человек, который ворует деньги с банковских карт.
16
Файл журнала (протокол, журнал; англ. log) – файл с записями о событиях в хронологическом порядке, простейшее средство обеспечения журналирования.
• Трояны, выполняющие DDoS-атаки
Распределенные атаки типа «отказ в обслуживании» (DDoS) продолжают будоражить интернет. В этих атаках к серверу или сети обращается огромное количество запросов, как правило, это делается с использованием ботнетов [17] . В июне 2022 года произошла рекордная DDoS-атака [18] . Источником стал ботнет Mantis, состоящий из зараженных серверов и виртуальных машин. Атака достигала 26 млн запросов в секунду. Представьте, тысячи машин по всему миру слали одновременно 26 млн запросов в секунду! Такую атаку выдержит не каждая DDoS-защита, не то что сайт. Для достижения такой вычислительной мощности необходимо огромное количество ботов. Ботнеты состоят из так называемых компьютеров-зомби. На первый взгляд эти компьютеры работают нормально, однако они также используются при совершении атак. Причиной является троянская программа с бэкдором, незаметно присутствующая на компьютере и при необходимости активируемая оператором. Результатом успешных DDoS-атак является недоступность веб-сайтов или даже целых сетей.
17
Ботнет (англ. botnet; произошло от слов robot и network) – сеть, состоящая из некоторого количества компьютеров с запущенными ботами – автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.
18
Источник:_krupnejshaya_v_istorii
• Трояны, имитирующие антивирусы (Fake AV)
Трояны, имитирующиe антивирусы, относятся к классу программ-страшилок (Scareware). Такие лжеантивирусы особенно коварны. Вместо защиты устройства они являются источником серьезных проблем. Эти троянские программы имитируют обнаружение вирусов, тем самым вызывая панику у ничего не подозревающих пользователей и убеждая их приобрести эффективную защиту за определенную плату. Однако вместо полезного инструмента антивирусной проверки вы получаете пустышку, либо, что еще хуже, данные вашей карты попадают к злоумышленникам – кардерам.
• Трояны-вымогатели
Этот тип троянских программ может изменять данные на компьютере, вызывая сбои в его работе, или блокировать доступ к определенным данным. Злоумышленники обещают восстановить работоспособность компьютера или разблокировать данные только после получения требуемого выкупа. Примером такого трояна является шифровальщик. Один из самых резонансных инцидентов с вымогателями-шифровальщиками за последнее время – атака на Colonial Pipeline, компанию, снабжающую топливом часть Bосточного побережья США. Шифровальщик уведомляет жертву, что ее компьютер или серверы зашифрованы, а также отправляет личный URL-адрес утечки: украденная информация загружена в интернет и ждет автоматической публикации, если организация не заплатит до определенного срока. Также хакеры сообщают, что удалят все данные жертвы из сети в случае оплаты. Режим ЧП был введен в 18 штатах США. Позже стало известно, что оператор трубопроводов Colonial Pipeline выплатил взломавшей его системы группировке хакеров DarkSide около $5 миллионов в качестве выкупа в криптовалюте сразу через несколько часов после атаки.
• Трояны-прокси
Программа, предназначенная для анонимного доступа злоумышленника в интернет через компьютер жертвы. Т. е. злоумышленник попросту использует IP-адрес [19] жертвы для выхода в интернет. Прокси обычно используются для рассылки спама, перебора паролей, взлома сайтов или же в схемах обналичивания денег с похищенных карт (когда кардер делает покупку чужой картой в интернет-магазине).
19
IP-адрес (от англ. Internet Protocol) – уникальный числовой идентификатор устройства в компьютерной сети, работающей по протоколу IP.