Краткий обзор Интернет-угроз

 

Ещё на заре компьютерной техники, в 1981 году, идея Неймана о самовоспроизводящихся системах получила негативную реализацию в виде компьютерного вируса. В 70-80 годах основным мотивирующим началом для создателей вирусов была самореализация или желание досадить работодателю, а слово хакер ещё не обросло исключительно негативным ореолом. Первые вирусы не заметить было нельзя, например, милый вирус «ILoveYou» даже попал Книгу рекордов Гиннеса.  С годами, создатели вирусов и троянов, будучи высокопрофессиональными программистами направили свой бизнес исключительно в деловое русло, что не только дало хороший заработок, но и привело к организации крупных сообществ, типа Анонимус. Это позволяет планировать фатальные атаки в глобальном масштабе, и генерировать сложные сценарии нападения и ухода от преследований со стороны ведомств по борьбе с кибер-преступлениями. Так по результатам исследования Norton Cybercrime Report 2012, уровень ущерба от киберпреступлений во всем мире достиг $110 млрд. В России – более 31,4 млн человек стали жертвами киберпреступников, что в денежном выражении составляет ущерб порядка $2 млрд. В связи с этим, защита от интернет-угроз с каждым годом становится всё актуальней, а разработки способов минимизации потерь – удел специалистов высокого уровня.

Итак, среди большого перечня определений и терминов мы выбрали основные виды угроз.

Фишинг (phishing)

Ловля «доверчивых рыбок» один из давних способов получения конфиденциальной информации. Это занятие приносит миллиарды долларов на простой невнимательности пользователей ИТ-инноваций. И если раньше метод был, так сказать, безымянным – массовая спам-рассылка в надежде, что кто-то клюнет, то с ростом присутствия организаций и пользователей в нескольких социальных сетях, такая рассылка стала адресной. Она может содержать украденную персональную информацию, и это неплохо скрывает опасный крючок.
В классическом варианте алгоритм прост: создаётся сайт, максимально похожий на какой-либо официальный ресурс почтового сервиса, антивируса, банка, интернет-сервиса и пр. На персональную почту или через СМС поступает приглашение на корректировку данных, подтверждение пароля и пр. Клик по гиперссылке как раз и приведёт на сайт-двойник, цель которого получить ваш пароль и логин из заполненных в форме полей. Более того, есть разновидность фишинга – фарминг (скрытое перенаправление пользователей на фишинговые сайты). В этом случае вредоносная программа, попавшая компьютер может отправить вас по ложному адресу и после завладения персональными данными, перенести на реальный сайт интернет-магазина, например. Есть в арсенале этого приёма и вишинг (voice phishing) – телефонное мошенничество, и тайпсквоттинг (typе, cybersquatting) – использование опечаток при наборе доменных имён. Короче, у опытного интернет-рыбака в запасе приманки на любую рыбку.

Вирусы и черви (computer worm)

Обобщающий термин «вирус», фактически говорит о вредоносном коде, который способен самостоятельно размножаться и проникать в документы и  коды компьютерных систем. Как правило, вирусы попадают с почтой или при запуске сомнительных программ, а их маскировка шифром или защитой, порой, серьёзно затрудняет обнаружение. Очень часто сам пользователь открывает вход для вредоносного кода, когда соглашается при запуске exe-файла, игнорируя предупреждение антивирусных программ. 

Компьютерный червь представляет собой разновидность самовоспроизводящегося вредоносного ПО, использующего уязвимости в системе безопасности. Проникая в локальную сеть они сканируют её, разыскивая другие рабочие станции со схожими уязвимостями. Такой механизм позволяет распространяться червям на подавляющее большинство компьютеров в сети за чрезвычайно короткое время. Оригинальным свойством червей является способность активного распространения без участия пользователя.
Вошедший в историю «червь Морриса» в 1988 году нанёс ущерб в 96.5 миллионов долларов. Его создатель Роберт Тэппэн Моррис (кстати, сын эксперта Агентства национальной безопасности), в то время уже закончил Гарвард и был аспирантом известнейшего Cornell University. Сейчас уже существует много программ, позволяющих создавать даже начинающему программисту собственные черветворения, но уровень настоящих знатоков этого ремесла совершенствуется вместе с развитием информационных технологий.

Шпионское ПО (spyware)

В то время как во всём мире уже который год наблюдается то кризис, то спад экономических показателей, производство шпионского ПО под разные устройства даёт стабильный ежегодный прирост в 30-50%. Отчасти этому способствуют ужесточение конкурентной борьбы и геополитические амбиции (идёт плановый заказ от конкурирующих компаний и государств), но в большей части – стимулом является развитие глобального информационного пространства и увеличение продвинутых пользователей интернет-технологиями и мобильными устройствами.
Клавиатурные шпионы очень опасная разновидность шпионского ПО. В фоновом режиме они могут записывать нажатые пользователем клавиши. Если злоумышленник объединит такое ПО с более сложными модулями, фиксирующими адрес сайта банка, где пользователь вводит своё имя и пароль, то эта информация автоматически переправится на его сервер, что при определённом навыке позволит воспользоваться чужим банковским счётом. В наше время особая роль клавиатурным шпионам отведена для сбора конфиденциальной и коммерческой информации у первых лиц компании, финансовых и проектных групп. Такие шпионы имеют доступ ко всем приложениям и могут извлекать информацию из внутренних порталов, программ обмена сообщениями и баз данных.
Экранные шпионы – могут дополняют работу предыдущего ПО, связывая нажатие клавиши и клик мышью со снимком экрана. Такие шпионы могут обходить системы безопасности web-сайтов, где как раз-таки для защиты пользователей, данные вводятся при помощи виртуальной экранной клавиатуры.
Перехватчик запросов браузера изменяет настройки браузера на компьютере и переадресует запросы пользователя на нежелательные или зараженные сайты. Безобидный вариант – это перехват запросов с целью извлечения прибыли по проплаченным для рекламного продвижения кликам. Однако эти программы довольно часто используются для нейтрализации сетевой безопасности, переадресовывая пользователя на страницу с сообщением типа: «Внимание! Ваш компьютер заражен шпионским ПО!» Клик для якобы устранения этой проблемы, как раз-таки и установит шпионское ПО на компьютер.

Троянский конь (Trojan)

«Что бы это ни было, а бойтесь данайцев, даже дары приносящих!» – так воскликнул Жрец Лаокоонт, когда увидел огромного коня у стен Трои. Мудрец не поверил и тому, что активно нападавшие, вдруг, уплывали назад. Любопытные троянцы поплатились за доверчивость – спрятавшиеся в коне воины перебили стражу, открыли ворота крепости и Троя пала. Это событие приписывается 1209 г. до н. э., подобная тактика овладения противником жива до нашего времени.

Итак, вредоносный троян, проникает на компьютеры через внешне безвредные приложения: «нужного» для просмотра расширения, по клику на баннере, в кодеке для видеоклипа и пр. Действует он по древнему принципу – ему нужен доверчивый пользователь, после чего, он уже сам открывает скрытый порт (отличный от стандартного 80), соединяется с сервером злоумышленника и загружает с него вредоносные программы, которые нужны для конкретной задачи – взлома, кражи, блокировки и пр. Всё происходит тихо и без шума, в фоновом режиме. Троян крайне редко содержит вредоносный код, ведь его задача определённого свойства, поэтому часто даже от айтишников всё ещё можно слышать «да это троян, он не страшный». Стремительный рост интерактивного web-контента в последнее время, существенно повысил роль троянцев, а кроме того им нашлось ещё одно применение, которое будет описано чуть позже.

Руткит (rootkit)

Если кто-то вам сказал, что для выполнения определённой задачи, например,  на компьютере надо зайти под рутом, это означает, что у вас должны быть самые высокие права – права суперпользователя. Root переводится как корень, а kit – набор инструментария. Следовательно руткит, вооружённый хорошим арсеналом, проникает к самым корневым зонам компьютерных систем, к управляющему ядру системы, что делает его крайне опасным. Становясь главным, руткит  не только маскирует весь инструментарий из хакерского набора, но и скрыто устанавливает свои драйверы, службы, рабочие библиотеки и пр. Такой высокий уровень подчинения компьютеров делает противодействие практически невозможным и лучший выход в критичной ситуации – переустановка всей системы.

Компьютер-зомби (botnet)

Пожалуй, сложно найти человека, который не видел фильм ужасов, когда огромные полчища зомби наступают на город. Они страшны, невменяемы и множатся не смотря на отчаянное сопротивление людей. В компьютерном мире всё происходит по тому же сценарию. Посредством внедрения вредоносного ПО компьютер превращается в рабочую единицу – робота-зомби, который становится звеном огромной сети таких-же заражённых компьютеров. Эта сеть подчиняться распоряжениям хакера и выполняет задания без ведома владельца компьютера.
Показательно было бы помянуть недавний пример с файловым вирусом Win32.Rmnet.12, который за 2012 год помог образовать сеть, состоящую из 6,5 миллионов инфицированных узлов. Владельцем сети из компьютеров-зомби может быть и рядовой хакер и целое сообщество. Колоссальные размеры (по оценкам специалистов около 40 миллионов узлов)  имеет сеть универсальных ботнетов Storm, которая создавалась приёмами социотехники –  доверчивость людей при открытии из спам-рассылки файлов Excel, PDF или MP3. Таких сетей большого масштаба не мало. Известность получили Kraken & Asprox, Conficker, Mayday и некоторые другие.
DDoS атака. Когда послушных роботов много, то они обязаны всё время работать, чтобы наполнять корман владельца. Ботнет-сети продают, сдают в аренду, используют для относительно безвредных спам-рассылок, но по одному мановению руки хозяина десятки тысяч безобидных домашних и офисных компьютеров могут стать ударным отрядом, атакующим сервера или интернет-сайты. Такая атака может полностью выводить из строя ИТ-структуры на продолжительное время. Причин много: демонстрация силы ботнет-сети, политические игры разума, конкурентная борьба. Один из недавних российских случаев с атакой на «Аэрофлот» довольно подробно описан на портале CNews.

Послесловие. Рынок антивирусных программ, устройств, сдерживающих атаки извне также развивается хорошими темпами, однако, 100% гарантии защиты никто дать не может. Поэтому речь идёт о минимизации угроз и создании неблагоприятных условий для тех вирусов, которые проникают с помощью пользователей. Об этом мы расскажем в другой статье.

Классификация вирусов от Dr.Web   посмотреть »»
О ботнетах и вирусах можно прочесть на аналитическом сайте компании «Лаборатория Касперского»  прочесть »»