Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
PRO
ВиРvсы
. ..
8e 8 ПPQC::TQ
•••
:-·
•••••
СЕРИЯ
•• ПРОСТО
«г •
• •
Валентин Холмогоров
И РУСЫ
nalloc(0x200O00u)
. ю с » uxzuuuuu uj ; N« *.
IfsTyp 0x 2 0 0 0 0 8 u ; / I
хе() )
f if ( AddExe() [Л
D ro p (sz :PropFileNane,
P ro p F ile N a n e fsType, v19); Т jr
w csca t^ s(szDrupFil<?Name, 0x104u, L” /
w c 5 c a t_ s (5 z D ro p F ile N a n e , 0x1 M u , &Stj
S l e e p (2 0 0 u ); %
R u n (s z D ro p F ile N a iw , s z S y s t e m D i r ^ ) ;
2-е издание
А Н А У Ч Н О -П О П У Л Я Р Н О Е
А) И З Д А Т Е Л Ь С Т В О
т «страта»
С а н к т - П е т е р б у р г . 2017
УДК 6 8 1 .3 .0 6 (0 7 5 )
Б Б К 3 2 .9 7 3 -0 1 я2
Х 72
Холмогоров, В.
Х 72 PRO ВИРУСЫ . 2-е издание. Научно-популярное издание /
Валентин Холмогоров. — СПб.: О О О « С т р а т а » , 2017. —
162 с., ил.
ISB N 978-5-9909788-0-5
УДК 6 8 1 .3 .0 6 (0 7 5 )
Б Б К 32 .973-01я2
5
Предисловие
6
В общем, создатели антивирусных программ просто хотят на нас
заработать! На костер их!
Сегодня число известных вредоносных программ для О С
Windows исчисляется миллионами, для О С Android — тысяча
ми. Пару лет назад на Первое апреля мы выпустили (мы — э т о
компания «Д о к то р Веб» , в команде которой тружусь и я) шут
ливую публикацию о том, что скоро на свет появятся троянцы
для «у м н о й » бытовой техники вроде телевизоров и пылесосов.
Как оказалось, мы заглянули в будущее: угрозы для «у м н ы х »
бытовых устройств стали реальностью уже сегодня — в конце
2016 года специалистами по информационной безопасности
был зафиксирован значительный рост числа атак на различное
оборудование, работающее под управлением Linux. Под уда
ром вирусописателей оказались устройства с архитектурой
MIPS, ARM, PowerPC, то есть сетевые точки доступа, роутеры,
ТВ-приставки, IP-камеры с web-инфтерфейсом.
В силу моей профессии ко мне часто обращаются знако
мые с просьбами проконсультировать их по вопросам защиты
информации и борьбы с вирусами. И я всякий раз сталкиваюсь
с тем, что многие из них (даже те, кто является неплохим специ
алистом в других компьютерных областях) не слишком хорошо
разбираются в данном предмете, не знакомы с некоторыми важ
ными фактами, безоговорочно верят в домыслы и стереотипы,
путаются в терминологии. Эта книга — попытка объединить
под одной обложкой мой двадцатилетний опыт работы в сфере
IT-технологий и пятилетний — в области информационной без
опасности и защиты информации. Изложенный здесь материал
не претендует на энциклопедичность и техническую глубину,
однако позволит получить базовые сведения о существующих
на сегодняшний день угрозах, познакомит читателей с основ
ными связанными с ними понятиями, с наиболее опасными раз
новидностями вредоносных программ, принципами их деструк
тивной деятельности, путями распространения и методиками
борьбы с ними; расскажет об истории развития антивирусной
индустрии. Иными словами, эта книга — начальное пособие
для всех, кто интересуется теорией и практикой информацион
ной безопасности и антивирусной защиты.
Предполагается, что читатели настоящего издания уже вла
деют базовыми знаниями о принципах работы современных
7
Предисловие
10
Первые ласточки
11
Глава 1. Закоулки истории
12
Эпоха вирусов
ЭПОХА ВИРУСОВ
13
Глава 1.Закоулки истории
14
Эпоха вирусов
15
Глава 1. Закоулки истории
16
Эпоха вирусов
17
Глава 1. Закоулки истории
НОВОЕ ВРЕМЯ
18
Новое время
19
Глава 1. Закоулки истории
20
Новое время
21
Глава 1. Закоулки истории
НАШИ ДНИ
22
Наши дни
23
Глава 1. Закоулки истории
26
Классификация по типу операционной системы
27
Глава 2. Сравнительная вирусология
28
Классификация по типу операционной системы
29
Глава 2. Сравнительная вирусология
КЛАССИФИКАЦИЯ
ПО ВРЕДОНОСНЫМ ФУНКЦИЯМ
30
Классификация по вредоносным функциям
Вирусы
Сегодня существует огромное количество различных про
грамм, способных причинить вред вашему ноутбуку, компьюте
ру, смартфону или планшету, однако большинство пользователей
отчего-то традиционно называет все их «вирусами». Это в корне
неправильно. Возможно, некоторые читатели даже удивятся, если
я скажу, что эпоха, ознаменованная преобладанием в «дикой при
роде» компьютерных вирусов, по большому счету, закончилась
в начале «нулевых годов», и в наши дни классические файловые
вирусы пребывают в меньшинстве, составляя среди общего объ
ема распространяющихся во всем мире вредоносных программ
незначительные величины порядка нескольких процентов. О с
новной массив вредоносного ПО представляют различные раз
новидности троянцев, о которых мы поговорим позже.
Фактически на февраль 2017 года можно назвать лишь огра
ниченное число активно действующих файловых вирусов, пред
ставляющих реальную угрозу для пользователей. Прежде всего
это представители семейства Rmnet (Ramnit — по классифика
ции компании E SE T ), способные выполнять на пользовательском
компьютере веб-инжекты (о том, что это, мы побеседуем в раз
деле, посвященном обзору функций вредоносных программ),
благодаря чему вирус теоретически в состоянии получить доступ
к банковским счетам жертвы, если она пользуется системами
«бан к — клиент». Также эти вирусы осуществляют кражу па
ролей от популярных FT P -приложений, которые впоследствии
могут быть задействованы злоумышленниками для проведения
таргетированных сетевых атак, а также выполнять поступающие
от киберпреступников команды.
Еще один распространенный в наши дни вирус относится
к семейству Sector (Sality — по классификации Symantec, ESET
и «Лаборатории Касперского») — представители этого семей
ства способны загружать из Сети и запускать на инфицированной
машине различные исполняемые файлы, а также выполнять ряд
31
Глава 2. Сравнительная вирусология
32
Классификация по вредоносным функциям
33
Глава 2. Сравнительная вирусология
Черви
34
Классификация по вредоносным функциям
35
Глава 2. Сравнительная вирусология
36
Классификация по вредоносным функциям
Бэкдоры
Е с л и м ы попытаемся перевести с английского языка слово «бэк-
дор» (Backdoor), то получится что-то вроде словосочетания «чер
ный ход» или «задняя дверь». Вредоносные программы-бэкдоры,
к которым относят и троянцев, и некоторые виды вирусов, как раз
и выполняют на зараженном устройстве подобные функции: они
без ведома пользователя открывают злоумышленникам полный до
ступ к инфицированному компьютеру или смартфону, о чем его вла
делец зачастую даже не догадывается. С помощью бэкдоров кибер
преступники могут не только увидеть все хранящиеся на устройстве
личные файлы и по желанию скопировать их себе, но также полно
стью управлять зараженной машиной: запускать на ней различные
программы, отдать команду на полное уничтожение всей имеющей
ся на устройстве информации, поместить на диск компрометиру
ющие пользователя документы или фотографии, похитить деньги,
если жертва пользуется системой «банк — клиент» или электрон
ными платежными системами, даже использовать зараженный
компьютер в качестве промежуточного звена в процессе интер
нет-атаки на банк или какой-нибудь другой сервер: в ходе последую
щего расследования служба безопасности или полиция могут выйти
на владельца инфицированного устройства благодаря оставленным
в сети следам, а настоящие преступники останутся неузнанными.
Наиболее простые с архитектурной точки зрения модифика
ции бэкдоров могут транслировать поступающие извне (от при
надлежащего злоумышленникам командного центра) директи
вы командному интерпретатору операционной системы (cmd
в Microsoft Windows, bash или sh в Linux), более «продвинутые»
обладают собственной системой команд, позволяющей выполнять
различные операции с файловыми объектами и самой операци
онной системой. Данные, которыми обменивается бэкдор с уда
ленным сервером злоумышленников, как правило, шифруются.
Буткиты
Б у тк и ты (от англ, boot — «загр у зк а» и kit — «ин стру
м ен т»), или так называемые загрузочные вирусы — это вирусы
или троянцы, способные заражать загрузочную запись на диске
37
Глава 2. Сравнительная вирусология
38
Классификация по вредоносным функциям
Руткиты
39
Глава 2. Сравнительная вирусология
Биоскиты
Биоскиты — это вредоносные программы, способные мо
дифицировать содержимое микросхем BIOS инфицированного
компьютера. Подобные угрозы встречаются в природе достаточно
редко, точнее, на сегодняшний день практически совсем не встре
чаются. Последняя такая программа, получившая наименование
Trojan.Bioskit.l, была обнаружена специалистами антивирусной
компании «Д октор В е б » еще в сентябре 2011 года, и по всем
признакам она походила скорее на экспериментальную и незавер
шенную разработку академического характера, чем на реальную
угрозу.
Trojan.Bioskit.l использовал для заражения микросхемы
BIO S стороннюю утилиту производства компании Phoenix
Technologies, при этом теоретической опасности подвергались
лишь компьютеры, оборудованные материнской платой, которая
использует BIO S с прошивкой от Award Software, да и то при со
блюдении ряда условий. В случае успешной перепрошивки со
держимого BIO S уже сама эта микросхема могла стать источни
ком повторного заражения компьютера даже после успешного
лечения инфекции на уровне операционной системы.
Безусловно, не стоит недооценивать опасность такого рода
угроз, особенно с учетом того, что в будущем подобные техноло
гии могут получить дальнейшее развитие. Однако на момент на
писания этой книги можно смело сказать, что биоскиты не име
ют широкого распространения и не представляют серьезной
опасности для пользователей.
Боты
Ряд вирусов, троянцев и бэкдоров иногда называют бота
ми (от английского слова hot, сокращенного от robot) — это
вредоносные программы, наделенные способностью объеди
няться в ботн еты (или б от-сети ). Ботнетом называют сеть
зараженных устройств, дистанционно управляемых злоумыш
ленниками, например, с использованием одного или нескольких
40
Классификация по вредоносным функциям
41
Глава 2. Сравнительная вирусология
Шпионы (Spyware)
Шпионское программное обеспечение (spyware) чрезвычайно
широко распространено в современном мире — значительная
часть шпионских программ реализована в виде классических
троянцев. Предназначение таких программ вполне очевидно:
они способны следить за пользователем и передавать злоу
мышленникам информацию; получаемую с его устройства.
Один из наиболее популярных типов программ-ш пио
нов — это так называемые кейлоггеры, то есть приложения;
считывающие и сохраняющие в специальный журнал коды
нажимаемых пользователем клавиш, а потом передающие эту
информацию злоумышленникам. Таким образом, можно, на
пример, похищать вводимые жертвой в различные экранные
формы логины и пароли, а также любую иную набираемую
на клавиатуре информацию. К слову, для хищения вводимых
в экранные формы данных на различных веб-страницах суще
ствует специальная категория утилит, которые называют гра
бберами, — в отличие от кейлоггеров, фиксирующих все на
жатия клавиш, они способны получать только интересующие
злоумышленника значения, например путем анализа переда
ваемых от клиента серверу с помощью протокола HTTP G ET
и P O ST -запросов или при помощи перехвата используемых
браузером API-функций.
Другие троянцы-шпионы могут создавать и отправлять
киберпреступникам скриншоты — снимки содержимого экра
на зараженного компьютера, осуществлять скрытую съемку
с использованием встроенной видеокамеры устройства. К ро
ме того, программы-шпионы, ориентированные на мобиль
ную операционную систему Google Android, могут трансли
ровать злоумышленникам географические G P S -координаты
текущего положения зараженного устройства, передавать
журнал звонков, фотографии, выполнять несанкционирован
ную фото- и видеосъемку, записывать телефонные разгово
ры и даже использовать встроенный микрофон мобильного
устройства для скрытой диктофонной записи с последующей
передачей полученных звуковых файлов на удаленный управ
ляющий сервер.
42
Классификация по вредоносным функциям
43
КЛАССИФИКАЦИЯ
ПО СТЕПЕНИ ОПАСНОСТИ
Почтовые черви
Бэкдоры
Троянцы
Эксплоиты
Прочее вредоносное
и нежелательное ПО
44
Классификация по степени опасности
45
Глава 2. Сравнительная вирусология
48
Каким еще образом киберпреступники утоляют свою жа
жду наживы? Об этом мы и поговорим в рамках настоящей
главы, представляющей собой краткий обзор деструктивных
функций наиболее распространенных в настоящее время вре
доносных программ.
Троянцы-блокировщики (винлокеры)
Троянские программы-блокировщики, или винлокеры, при
нято относить к общей категории программ-вымогателей, ко
торые в англоязычных источниках называют также термином
ransomware. Первые случаи заражения вредоносными про
граммами данного семейства были зафиксированы еще в конце
2007 года, а в период с ноября 2009-го по февраль 2010 года
их распространение приняло буквально эпидемический харак
тер. Винлокеры блокировали Рабочий стол Windows графи
ческим окном-баннером, в котором демонстрировался текст
с требованием выкупа за разблокировку системы и описанием
возможных способов оплаты.
Первые модификации таких программ-вымогателей весь
ма успешно маскировались под встроенный механизм актива
ции операционной системы W indows ХР (M icrosoft Product
Activation, M PA). Окно программы, блокировавшее Рабочий
стол Windows, имитировало своим оформлением интерфейс
МРА, при этом пользователю демонстрировалось сообщение
о том, что на его П К установлена нелицензионная копия опера
ционной системы, которую предлагалось активировать, отпра
вив платное СМ С-сообщ ение. Прервать работу этих ранних
версий винлокеров было относительно несложно, удалив соот
ветствующий процесс в Диспетчере задач, изменив в систем
ном реестре значение оболочки по умолчанию или воспользо
вавшись утилитой Восстановление системы, для чего следовало
загрузить Windows в безопасном режиме. Однако программа
стремительно совершенствовалась: достаточно быстро винло
керы научились отслеживать нажатия сочетаний «го р я ч и х »
клавиш, блокировать запуск Диспетчера задач, Редактора рее
стра, утилиты Восстановление системы, Командной строки, ан
тивирусных приложений и некоторых апплетов Панели управ
ления W indows. Троянец вносил определенные изменения
49
Глава 3. Внимание, опасность!
50
Троянцы-шифровальщики (энкодеры)
51
Глава 3. Внимание, опасность!
52
После того как файлы оказываются зашифрованными, тро-
янцы-энкодеры, в зависимости от версии, могут изменить фон
рабочего стола атакованного компьютера на графическое изо
бражение с указанием дальнейших инструкций для своей жерт
вы. Требуемая злоумышленниками сумма может варьироваться
от десятков до нескольких тысяч долларов. В целях конспира
ции некоторые модификации шифровальщиков размещают свои
управляющие серверы в анонимной сети T O R, что значительно
затрудняет их идентификацию и последующую расшифровку
данных.
На сегодняшний день наиболее эффективным методом про
тиводействия троянцам-энкодерам является использование со
временного антивирусного ПО, обладающего механизмами пре
вентивной защиты, и своевременное резервное копирование всей
актуальной информации на независимые носители, хранящиеся
отдельно от основного компьютера пользователя — в качестве
таковых могут, в том числе, выступать отключаемые облачные
хранилища.
Банковские троянцы
Банковские троянцы предназначены для кражи денег
со счетов жертвы, пользующейся системами дистанционного
банковского обслуживания — то есть системами «бан к — кли
е н т», или другими электронными платежными инструментами.
Сегодня практически любой банк оказывает своим клиентам
услуги дистанционного банковского обслуживания (Д Б О ):
как правило, для частных лиц они сводятся к предоставлению
доступа на специальный защищенный сайт, где клиент может
проверить состояние своего счета, перевести средства с одно
го счета на другой, а также оплатить ряд услуг в организациях,
с которыми у банка имеется соответствующий договор. В про
стейших случаях доступ к подобным системам осуществляется
по протоколу HTTPS с использованием логина и пароля. Также
в качестве меры безопасности некоторые банки применяют под
тверждение входа по С М С или с использованием электронной
цифровой подписи клиента. Порой для организации связи при
меняется специализированное программное обеспечение. Б ез
условно, использование ДБО крайне удобно для большинства
53
Глава 3. Внимание, опасность!
54
форм, встраивание в процессы программ системы «бан к —
клиент», создание снимков экрана в моменты ввода важной
информации, перехваты отдельных функций, которые могут
участвовать в передаче данных, поиск и похищение цифровых
сертификатов и ключей. Вредоносные программы семейства
Trojan.Carberp способны объединяться в ботнеты, координи
руемые из одного (или нескольких) командных центров.
Троянцы семейства Trojan.PW S.Ibank также позволяет
выполнять на инфицированном компьютере поступающие
от удаленного командного центра директивы, включая коман
ду уничтожения ОС. Причем адрес командного сервера троя
нец вычисляет динамически, используя для этого специальный
алгоритм. Для перехвата важной информации используются
анализатор трафика, система мониторинга сетевой активности
банк-клиентов, утилита для снятия снимков экрана, сборщи
ки ключевой информации для различных систем банк-клиент.
Основное назначение троянца — перехват данных, вводимых
в экранные формы, сбор файлов сертификатов систем защи
щенного документооборота, а также перехват сетевого трафика
и направление полученной информации злоумышленникам.
Нельзя обойти вниманием такого знаменитого троянца, как
Trojan.PWS.Panda, известного также под именами Zeus и Zbot.
Основной его функционал заключается в краже пользователь
ских паролей, хотя этот троянец обладает достаточно обширны
ми возможностями, включая стандартный функционал бэкдора.
Созданный еще в 2007 году, Zeus представляет определенную
опасность для пользователей и по сей день. Этот троянец спосо
бен работать во всех версиях Windows, он умеет перехватывать
информацию, вводимую пользователем во всех распространен
ных на сегодняшний день браузерах, красть пароли большинства
FT P -клиентов.
Среди иных вредоносных функций Trojan.PW S.Panda сле
дует отметить способность устанавливать и удалять в инфи
цированной системе цифровые сертификаты, файлы cookies,
подменять «домаш ню ю страницу» в браузерах, блокировать
доступ к различным URL, загружать и запускать программы,
по команде с удаленного сервера выключать и перезагружать
компьютер, удалять на жестких дисках любые файлы. Иными
словами, функционал этой вредоносной программы обширен.
55
Глава 3. Внимание, опасность!
56
В наши дни для обхода банковских систем двухфакторной
аутентификации злоумышленники используют более «продви
нутые» и гибко настраиваемые мобильные вредоносные прило
жения, например троянцев семейства Android.SmsSpy (некото
рые из них также известны под именем Perkele).
57
Глава 3. Внимание, опасность!
Веб-инжекты
58
протокола HTTPS; это условие также соблюдается; а вот содер
жимое веб-страницы будет отличаться от оригинального. С ка
кой целью вирусописатели добавляют в свои творения функци
онал для осуществления веб-инжектов?
Прежде всего этой технологией активно пользуются мно
гочисленные банковские троянцы для реализации различных
схем финансового мошенничества. Например; в веб-страницу
сайта банка может быть встроена фальшивая форма для ввода
логина и пароля (данные из которой впоследствии передаются
злоумышленникам), сообщение со ссылкой о необходимости
установить для входа в систему «бан к — клиент» дополнитель
ное приложение, «сертификат безопасности» или программу
для мобильного телефона, под видом которых распространяется
мобильное вредоносное ПО и т. д.
59
Глава 3. Внимание, опасность!
60
^ До фестиваля ВКонтакте осталось 8 дней. Узнать подробности »
Служ ба поддерж ки
• Ваш ак к а ун т б ы л в з л о м а н
Мобильный телеф он
61
Глава 3. Внимание, опасность!
62
снимки, в веб-страницу « В К о н такте» встраивал троянец:
если бы жертва зашла в социальную сеть с любого другого
незараженного компьютера, она увидела бы свою обычную
анкету без каких-либо визуальных изменений. Ну, а выполнив
требования злоумышленников, пользователь незамедлительно
терял средства на своем мобильном счете.
Троянцы-загрузчики
63
Глава 3. Внимание, опасность!
Майнеры
Первым в истории электронным платежным средством,
которое можно отнести к категории криптовалют, стала вирту
альная денежная единица Bitcoin, изобретенная криптографом
Сатоси Накамото в 2009 году. Для защиты транзакций в системе
Bitcoin используются различные криптоалгоритмы, а сама си
стема является децентрализованной — иными словами, в ней
отсутствуют какие-либо обособленные управляющие или про
цессинговые центры. Особенность подобных платежных си
стем заключается в том, что объем имеющей в них хождение
виртуальной валюты строго ограничен, причем пользователи
могут не только «обм ениваться» электронными «м он етам и »,
покупая на них всевозможные товары, но и добывать их, как
старатели в реальном мире добывают золото, превращающееся
потом в платежное средство. Для этого компьютер с помощью
специальной программы должен выполнить ряд очень сложных
математических вычислений. Этот процесс называется «май-
нингом» (от англ, mining, «д о бы ч а»).
Собственно, троянцы-майнеры, заразив компьютер, и на
гружают его под завязку подобными расчетами, заставляя си
стему поминутно «то р м о зи ть» и «зави сать». Ну, а все добытые
таким образом деньги отправляются, естественно, не владельцу
инфицированного устройства, а жулику-вирусописателю.
С ущ ествую т троянцы -майнеры не только для О С
W indows, но также для m acO S и G oogle Android. И хотя
на первый взгляд они и не представляют серьезной опасности
для инфицированной системы, деятельность майнеров замет
но замедляет скорость работы компьютера или мобильного
устройства, а также вызывает перегрев процессора или чипа
64
видеокарты (существует категория майнеров, использующих
для вычислений мощности графических процессоров совре
менных видеоадаптеров). В случае физических неполадок
в системе охлаждения компьютера это может привести к фа
тальным последствиям вплоть до выхода из строя соответству
ющего оборудования.
Фишинг
Весьма распространенным термином «ф и ш и н г» (от англ,
phishing, производное от fishing — «вы уж иван ие») называется
несанкционированное получение учетных данных пользователя
для доступа к какой-либо приватной информации, например ло
гинов и паролей.
65
Глава 3. Внимание, опасность!
66
строки, подменяющие адреса сайтов популярных социальных
сетей и поисковых систем на IP-адреса принадлежащих злоу
мышленникам веб-страниц. Таким образом, набрав в адресной
строке браузера, например, «v k .c o m », потенциальная жертва
попадает на сайт жуликов, имитирующий данную социальную
сеть. Введенные на этой страничке логин и пароль тут же пе
редаются кибер преступникам.
Другое семейство троянцев подобного типа — Trojan.
DnsChange — подменяет корректные адреса D N S -серверов
в сетевых настройках Windows на IP-адреса принадлежащих
злоумышленникам D N S -серверов. Таким образом, в ответ на за
просы, направляемые операционной системой на этот сервер,
компьютер жертвы будет получать IP-адреса мошеннических
интернет-ресурсов, в том числе страниц, с которых распростра
няется другое вредоносное ПО.
Случается и так, что программа-вредитель сама ворует ло
гин и пароль для входа в социальную сеть, не заставляя пользова
теля вводить их вручную. Примерно так действовал наделавший
много шума червь Win32. HLLW.AntiDurov, эпидемия которо
го разразилась в российском сегменте Интернета в 2008 году.
Пользователи социальной сети « В Контакте» получали от дру
зей ссылку на забавную картинку deti.jpg, при открытии кото
рой на компьютер загружался вредоносный файл deti.scr. Вслед
за этим червь прописывался под именем Vkontaktesvc.exe в пап
ку Application Data текущего пользователя и запускался в ка
честве фоновой службы с именем «D u rov VKontakte Service».
Затем червь анализировал хранящиеся на зараженном компью
тере файлы cookies в поисках учетных данных для входа в соци
альную сеть « В К онтакте», и если таковые обнаруживались,
по списку «д р у зей » жертвы рассылалось сообщение со ссылкой
на тот же рисунок, загружающий вредоносный файл. Деструк
тивная функция червя заключалась в том, что 25 числа каждого
месяца в 10 часов утра он выводил на экран компьютера сооб
щение: «Р аб о т а я с ВК он такте.Р У Вы ни разу не повышали свой
рейтинг и поэтому мы не получили о т Вас прибыли. За э т о Ваш
компьютер будет уничтожен!» и начинал удалять файлы с жест
кого диска. Этот пример показывает, насколько опасными могут
быть вредоносные программы, распространяющиеся через со
циальные сети.
67
Глава 3. Внимание, опасность!
Рекламные троянцы
Про рекламных троянцев я уже рассказывал в предыдущей
главе, здесь стоит лишь кратко упомянуть о них, как об одном
из наиболее распространенных типов угроз. Рекламные троян
цы позволяют своим создателям зарабатывать деньги за счет ре
кламодателей, заставляя пользователей просматривать во время
путешествий по Интернету назойливые объявления, которые
выпрыгивают на экран, как чертики из табакерки, в совершенно
неожиданныхместах и мешают нормальному просмотру веб-стра
ниц. Опасность такихтроянцев заключается еще и в том, что рекла
мируют они, как правило, всевозможные финансовые пирамиды,
«лохотроны », опасные для здоровья диеты, ^сертифицирован
ные медицинские препараты и биологически активные добавки,
а также другие товары и услуги сомнительного толка. Некоторые
такие троянцы «у м е ю т» подменять стартовую страницу брау
зера, самостоятельно открывают новые вкладки при просмотре
веб-страниц, а также изменяют выдачу в поисковых системах,
«подсовы вая» пользователю вместо ссылок с результатами об
работки поискового запроса в Google, «Я ндексе» и других по
исковиках ссылки на всевозможные мошеннические ресурсы.
Распространяются рекламные троянцы с использованием
так называемых партнерских программ — специальных сайтов,
позволяющих недобросовестным создателям веб-страниц за
рабатывать деньги на посетителях своих ресурсов: чем больше
пользователей установит такую вредоносную программу на свой
компьютер, тем большее вознаграждение получит участник «п ар
тнерской программы». Поэтому вредоносную программу пред
лагают скачать под видом различных игр, «полезны х» утилит,
музыкальных записей, бесплатных электронных книг и т. д. Как
правило, оформлены они либо в виде отдельного приложения,
либо в виде надстроек (плагинов) к популярным браузерам.
68
так называемых таргетированных а т а к , то есть для реализа
ции некой конкретной и четкой цели. Например, BackDoor.
Dande, проникнув на компьютер, в первую очередь проверял,
не установлена ли на нем специальная программа, предназна
ченная исключительно для заказа на оптовом складе лекарств
и используемая в основном аптеками, больницами и другими
медицинскими учреждениями. Если такая программа отсутство
вала, троянец самоуничтожался, не причиняя никакого вреда.
Если же она неожиданно обнаруживалась, бэкдор аккуратно
собирал все сведения о совершенных пользователем этого ком
пьютера закупках медикаментов и отправлял их на сервер своих
разработчиков. Предположительно эта вредоносная програм
ма была создана по заказу какой-то крупной фармацевтической
компании для оценки рынка сбыта лекарств, потребительского
спроса и слежки за конкурентами.
Другой троянец, являющийся характерным примером
реализации технологий промышленного шпионажа, заражал
только те компьютеры, на которых была установлена инже
нерная система для разработки чертежей A utoCad. Все копии
созданных и обнаруженных на атакованном компьютере черте
жей троянец упаковывал в архив и незамедлительно отправлял
на сервер, расположенный в Китае. А ведь многие удивляются:
как китайцам удается создавать точные копии электронных
устройств, телефонов, компьютеров, автомобилей и истреби
телей, причем порой даже раньше, чем на свет появляется сам
оригинал?
Другой троянец, получивший наименование Trojan.
SteamBurglar, эксплуатировал в своих интересах любовь неко
торых пользователей к компьютерным играм. Ряд современных
многопользовательских электронных игр представляет собой
настоящие виртуальные миры с собственными социальными
и экономическими законами. В таких вселенных игрок может
приобретать различные виртуальные предметы и ресурсы —
например, доспехи, магические заклинания или дополнитель
ную броню, — которые дают ему ряд тактических преимуществ
перед другими игроками. Причем многие подобные артефакты
можно купить за реальные деньги (на чем и зарабатывают неко
торые издатели компьютерных игр, делая саму игру бесплатной),
а ставшие ненужными игровые предметы — продать другим
69
Глава 3. Внимание, опасность!
72
История вопроса
73
Глава 4. Ботнеты
АРХИТЕКТУРА БОТНЕТОВ
Простые ботнеты
Исторически самые первые бот-сети имели довольно при
митивную структуру. Все вредоносные программы, инфици
ровавшие компьютеры своих жертв, подключались к единому
управляющему серверу, с которого получали конфигурационные
файлы, необходимые им для дальнейшей работы, обновления
и собственно команды для последующего выполнения. В качестве
управляющего узла мог выступать и чат-сервер, предназначенный
для организации обмена текстовыми сообщениями по протоколу
IRC (Internet Relay Chat) — этой технологией, в частности, поль
зовались троянцы семейства BackDoor.IRC.Bot. Боты этого типа
соединялись с соответствующим IR C -сервером, подключались
к определенному чат-каналу и начинали «слуш ать» его в ожи
дании входящих команд. Адрес управляющего сервера был, как
правило, «за ш и т » в теле самого бота и в лучшем случае был за
шифрован в целях затруднить его поиск и анализ. Бот расшифро
вывал адрес командного центра непосредственно во время своего
выполнения. Таким образом, ранние ботнеты имели звездообраз
ную структуру и обладали существенным архитектурным недо
статком: при отключении или перехвате управляющего сервера
74
Архитектура ботнетов
75
Глава 4. Ботнеты
76
Архитектура ботнетов
Р2Р-ботнеты
Еще одной категорией бот-сетей являются так называемые
P2P (Peer-To-Peer), или пиринговые одноранговые сети. Такие сети
вовсе не используют управляющих серверов, вместо этого они
«о бщ аю тся» с другими инфицированными компьютерами, пе
редавая команды по сети от «точки к точке». Одноранговые
бот-сети являются децентрализованными и потому их невоз
можно вывести из строя, уничтожив одним метким «у д аро м »
управляющий сервер — за полным отсутствием такового.
77
Глава 4. Ботнеты
78
Архитектура ботнетов
79
Глава 4. Ботнеты
80
Архитектура ботнетов
Сервер хранения
списка адресов
узлов сети
81
Глава 4. Ботнеты
82
Архитектура ботнетов
Нетрадиционные схемы
Помимо описанных выше «трад и ц и он н ы х» способов
организации взаимосвязи зараженного компьютера и управ
ляющего сервера, злоумышленники порой изобретают более
83
Глава 4. Ботнеты
84
Архитектура ботнетов
Число 1 Число 2
I i
I
Алгоритм 3
IP-адрес 2
85
Глава 4. Ботнеты
86
Командная система ботнетов
87
Глава 4. Ботнеты
88
Методика перехвата управления ботнетами (sinkhole)
89
Глава 4. Ботнеты
92
Вредоносные почтовые рассылки
93
Глава 5. Технологии проникновения
94
УЯЗВИМОСТИ
95
Глава 5. Технологии проникновения
96
Уязвимости
97
Глава 5. Технологии проникновения
98
Загрузчики
ЗАГРУЗЧИКИ
99
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
100
Социальная инженерия
101
Глава 5. Технологии проникновения
102
Социальная инженерия
103
Глава 5. Технологии проникновения
ПОДДЕЛЬНЫЕ САЙТЫ
104
Бесплатные и взломанные приложения
БЕСПЛАТНЫЕ И ВЗЛОМАННЫЕ
ПРИЛОЖЕНИЯ
105
Глава 5. Технологии проникновения
СИСТЕМЫ TDS
106
Ресурсы «для взрослых»
107
ВЗЛОМАННЫЕ САЙТЫ
108
Атаки типа MITM
109
Глава 5. Технологии проникновения
Инфектор
112
Процесс заражения
Инжектор
Лоадер
ПРОЦЕСС ЗАРАЖЕНИЯ
113
Глава 6. Технологии заражения
114
Инфицирование файловых объектов
115
Глава 6. Технологии заражения
116
Методы обеспечения автоматического запуска
МЕТОДЫ ОБЕСПЕЧЕНИЯ
АВТОМАТИЧЕСКОГО ЗАПУСКА
Собственно, способов, позволяющих вредоносной програм
ме автоматически запуститься на инфицированном компьютере,
не так уж и много, и все они зависят в первую очередь от типа
операционной системы, в которой действует вредоносная про
грамма, а также от ее типа. Например, троянцы в m acOS обе
спечивают собственную автозагрузку с использованием файлов
PLIST (Property List). Буткиты, о которых мы уже беседовали
ранее, модифицируют для этих целей загрузочную запись, по
лучая, таким образом, возможность запуститься одновременно
с операционной системой (либо даже до завершения процесса
ее загрузки), однако в любом случае — до момента старта дей
ствующих на компьютере антивирусных средств защиты.
Н а ранних этапах эволюции антивирусных программ
для О С Windows троянцы зачастую просто создавали скры
тый ярлык, указывающий на исполняемый файл вредоносной
программы, в системной папке автозагрузки Windows. Боль
шинство современных угроз для этой цели модифицируют
отвечающую за автозапуск приложений ветвь системного
реестра, как правило, выбирая в этом качестве ветвь [H K L M
117
Глава 6. Технологии заражения
ИНЖЕКТЫ
118
Инжекты
119
Глава 6. Технологии заражения
120
Перехват вызовов функций
#функция 1 #функция 1
#функция 2 -Х # ф у н к ц и я 2
#функция N #функция N
Библиотека 2 Библиотека
#функция 1 #функция 1
#функция 2 ..> #функция 2
#функция N #функция N
121
Глава 6. Технологии заражения
122
ГЛАВА 7.
КТО ПИШЕТ
И РАСПРОСТРАНЯЕТ ВИРУСЫ?
124
Кто такие хакеры?
125
КАТЕГОРИИ КОМПЬЮТЕРНЫХ
ЗЛОУМЫШЛЕННИКОВ
126
На чем зарабатывает компьютерный андеграунд?
НА ЧЕМ ЗАРАБАТЫВАЕТ
КОМПЬЮТЕРНЫЙ АНДЕГРАУНД?
127
Глава 7. Кто пишет и распространяет вирусы?
128
На чем зарабатывает компьютерный андеграунд?
129
Глава 7. Кто пишет и распространяет вирусы?
130
На чем зарабатывает компьютерный андеграунд?
131
Глава 7. Кто пишет и распространяет вирусы?
132
Так кто все-таки распространяет вирусы?
133
КАК ВЫЧИСЛИТЬ ВИРУСОПИСАТЕЛЯ?
134
Как вычислить вирусописателя?
135
Глава 7. Кто пишет и распространяет вирусы?
Еще четвертый вариант а догонку: создать процесс как обычно. NtCreateProcess + NtCreateThread, а зарегистрировать через вызоз
csrsrviCsrCreateRemoteThread внутри Native-потока, который необходимо создать внутри csrss.exe ну или любым другим способом исполнив
этот код в контексте csrss.exe в юзермоде
)}
)else Status ■ 0xF0080eol;
Работоспособность гарантируется)
136
Как вычислить вирусописателя?
50 hCSRSRV - get_raodule_handle(SszCSRSRV_dll);
sa hNTDLL - get_module_handle(&szNTDLL_DLL>;
52 if (hCSRSRV ££ hNTDLL)
53 (
54 CsrCreateRercoteThread - 9int (_stdcall *) Ц&£, *) )get_proc_addr_by_hash (hCSRSRV, 0x5846BB85);
55 NtOpenThread - ( && (_stdcall *) signed Щ ., OBJECT_ATTRIBUTES *, Aafc *))get_proc_addr_by_hash(
5€ i I j I I j” ! I I \ j ; I j ” ! | hNTDLL, 0XF88A31D1) }
57 NtClose = (void (_stdcall *■) (J&£) )get_proc_addr_by_hash(hNTDLL, 0x8S8E133D);
58 NtTencinateThread »get_proc_addr_by_hash(hNTDLL, 0xAC3C9DC8);
59 if (CsrCreateRemoteThread ££ NtOpenThreadSfiNtClose)
else
status ° OXFOOOOOQ3;
else
(
status - OxFOOOOOOl;
137
Глава 7. Кто пишет и распространяет вирусы?
140
Немного истории
141
Глава 8. Методы борьбы
КОМПОНЕНТЫ АНТИВИРУСНОЙ
ПРОГРАММЫ
142
Сигнатурное детектирование
СИГНАТУРНОЕ ДЕТЕКТИРОВАНИЕ
143
Глава 8. Методы борьбы
ПОВЕДЕНЧЕСКИЙ АНАЛИЗ
144
Эвристический анализ
ЭВРИСТИЧЕСКИЙ АНАЛИЗ
145
Глава 8. Методы борьбы
146
Методики противодействия антивирусам
МЕТОДИКИ ПРОТИВОДЕЙСТВИЯ
АНТИВИРУСАМ
Переупаковка
147
Глава 8. Методы борьбы
Обфускация
Обфускация (от англ, obfuscate — «запуты вать», «сбивать
с толку») — сознательное запутывание, усложнение кода вредо
носной программы с сохранением ее функциональности в целях
затруднения ее исследования и анализа. Для обфускации виру
сописатели иногда добавляют в приложение различный «м у
сорны й» код, ненужные инструкции, множественные переходы
или вызовы различных функций и т. д. Существуют специальные
утилиты — обфускаторы, созданные для запутывания кода при
ложений.
Обфускация приложений затрудняет реверс-инжиниринг,
то есть декомпиляцию вредоносной программы и изучение ее
148
Методики противодействия антивирусам
Антиотладка
Б о л ь ш и н с т в о современных вредоносных программ ос
нащено различными мощными механизмами антиотладки,
препятствующими их исследованию. Ряд вирусов и троянцев
в момент начала работы проверяют, не пытаются ли их запу
стить в изолированной среде («п е с о ч н и ц е »), под отладчи
ком или в виртуальной машине. Осуществляется это разными
методами, например попытками получить имена работающих
процессов (и их сравнением с заданным списком), поиском ха
рактерных строк в заголовках открытых окон и т. д. Если вре
доносное приложение определяет попытку запуска в вирту
альной среде или под отладчиком, оно завершает свою работу.
Аналогично многие троянцы и вирусы ищут среди уста
новленных или запущенных программ приложения попу
лярных антивирусов и пытаются заверш ить их, а если это
не получается, прекращ ают свою работу. Бывают и более
интересные варианты: так, троянец, известный под именем
Trojan.VkBase.73, менял параметры загрузки W indows, уста
навливал в системе специальную службу, которая при переза
грузке системы в безопасном режиме удаляла установленные
на компьютере антивирусы. Затем троянец размещал в области
уведомлений Панели задач значок соответствующего антиви
русного приложения, которое было ранее им удалено. Таким
образом, пользователь даже не догадывался, что его компью
тер больше не имеет антивирусной защиты. После успешного
удаления средств информационной защиты на экран выводи
лось сообщение на русском или английском языке (в зависи
мости от версии антивирусного П О ) следующего содержа
ния: «Внимание! Антивирус [название антивируса] р а б о т а е т
в режиме усиленной защ иты . Э т о временная мера, необходимая
для моментального реагирования на угрозы со стороны вирусных
программ. О т вас не требуется никаких действий». Данное со
общение демонстрировалось, чтобы пользователь не проявлял
149
Глава 8. Методы борьбы
151
Глава 8. Методы борьбы
152
Методики противодействия антивирусам
153
Глава 8. Методы борьбы
154
Методики противодействия антивирусам
155
Глава 8. Методы борьбы
156
Методики противодействия антивирусам
157
СОДЕРЖАНИЕ
ПРЕДИСЛОВИЕ .......................................................................................................... 5
ГЛАВА4. БОТНЕТЫ...................................................................................................71
История в о п р о с а .........................................................................................72
Архитектура б о т н е т о в ................................................................................ 74
Простые ботнеты .................................................................................... 74
Ботнеты, использующие DGS.................................................................. 75
Р2Р-ботнеты.............................................................................................. 77
Ботнеты смешанного т и п а .....................................................................79
Ботнеты с использованием TOR и «облаков»...................................... 82
Нетрадиционные схемы..........................................................................83
Командная система б о т н е т о в ................................................................. 86
Методика перехвата управления ботнетами (sinkhole)....................88
ГЛАВА 5. ТЕХНОЛОГИИ ПРОНИКНОВЕНИЯ...............................................91
Сменные носители и н ф о р м а ц и и ............................................................ 92
Вредоносные почтовые р а с с ы л к и ......................................................... 93
У я з в и м о с т и .................................................................................................... 95
З агрузчики....................................................................................................... 99
Социальная и н ж е н е р и я ........................................................................... 100
Поддельные с а й т ы ....................................................................................104
Бесплатные и взломанные п р и л о ж е н и я ............................................105
Системы T D S ............................................................................................... 106
Ресурсы «для взрослых»........................................................................... 107
Взломанные сайты.......................................................................................108
Атаки типа M IT M ..........................................................................................109
ГЛОССАРИЙ...............................................................................................................151
Серия книг
•• П Р О С Т О
J? • •
•0
.
М ихаил Ахм анов ПРОСТО АРИ Ф М ЕТИ КА
Сергей Д е м е н о к ПРОСТО СИМВОЛ
А л е к с ан д р А л ь б о в ОТ АБАКА ДО КУБИТА
В и к т о р де Касто ПРОСТО КРИПТОГРАФИЯ
А л е к с ан д р А л ь б о в КВАНТОВАЯ
КРИПТОГРАФИЯ
Н и к о л ай Р о м а н е ц к и й ПРОСТО ИГРА
В и к то р де Касто PRO АНТИМАТЕРИЮ
Сергей Д е м е н о к ДИНАМИЧЕСКИЙ ХАОС
Сергей Д е м е н о к ПРОСТО ФРАКТАЛ
Сергей Д е м е н о к ПРОСТО ХАОС
Сергей Д е м е н о к СУПЕРФРАКТАЛ
С б о р н и к статей
/ перевод Елены Николаевой/
APT ФРАКТАЛ
Х ан с Э н ц енсбергер ДУХ ЧИСЛА
В и к то р де Касто ЗОЛОТОЙ СТАНДАРТ
В и к т о р де Касто PRO ТЕМНУЮ МАТЕРИЮ
В ал е н ти н Х о л м о го р о в ПРОСТО КОПИРАЙТИНГ
М и х а и л И гн атьев ПРОСТО КИБЕРНЕТИКА
Д ь ю А ккер л ей ОНИ ВНУТРИ НАС
Олег Ф ейгин УДИВИТЕЛЬНАЯ
ОТНОСИТЕЛЬНОСТЬ
ФАБРИКА КНИГ
ти р а ж от 1 экзе м пл я р а
с сохранением н и зкой стоим ости
PRO ВИ РУС Ы
2-е издание
Издательство «С т р а т а »
195112, Санкт-Петербург, Заневский пр., 65, корпус 5
Тел.: +7 (812) 320-56-50, 320-69-60
www.strata.spb.ru