книги хакеры / Как_защитить_себя_в_цифровом_мире_

Вирусы появились еще до распространения персональных компьютеров. Основная особенность вирусов — способность к

Черви

Черви, в отличие от вирусов, это самостоятельные компьютерные программы. Они способны к самостоятельному распространению по локальным сетям и через интернет различными методами: от рассылки своих копий по электронной почте до прямой передачи на другие компьютеры с использованием уязвимостей в программах и операционных системах. Часто для активации червя даже не требуется никаких действий пользователя. Черви являются в некотором роде вирусами, так как созданы на основе саморазмножающихся программ, но не могут заражать существующие файлы. Вместо этого они ищут уязвимости в сети или системе, чтобы распространяться дальше. Кроме

Классические черви размножаются самостоятельно через сетевые ресурсы, но

вотличие от сетевых червей для их активации пользователю требуется запускать их, о чем будет сказано ниже. Такие черви ищут удаленные компьютеры и копируют себя в каталоги, открытые для чтения и записи. При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут в глобальной сети компьютеры, подключаются к ним и пытаются открыть их диски для полного доступа.

Примечание. Сигнатура — хранящийся в базе данных антивирусной компании уникальный идентификатор вредоносного объекта. Если образец этого объекта ранее не исследовался и его сигнатуры нет в базе данных (например, если код вируса совершенно новый либо существенно обфусцирован (запутан с помощью мусора) или изменен (полиморфные вирусы)), антивирусное программное обеспечение не сможет опознать его [702]. Для решения проблемы опознавания новых и измененных вирусов, как уже упоминалось, применяются технологии эвристического (вероятностного) анализа [703].

Сетевые черви обладают способностью к саморазмножению в компьютерных сетях без участия пользователей. Для заражения уязвимых компьютеров червь посылает специальный сетевой пакет (эксплойт), в результате чего код червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после ее проникновения основной файл червя скачивается и исполняется. Часто сетевые черви используют сразу несколько эксплойтов для повышения эффективности заражения.

Email-черви распространяются по каналам электронной почты либо в виде вложений в письма, либо в виде ссылок на вредоносный файл. После попадания на компьютер пользователя червь рассылает себя по всем адресам, например: по адресам, обнаруженным в адресной книге; отправителям и получателям писем на данном компьютере (как правило, многих из них пользователь не заносит в адресную книгу); по адресам, обнаруженным в содержимом файлов на диске. К разновидностям почтовых червей можно отнести P2P-червей (распространяются через пиринговые файлообменные сети), IM-червей (саморазмножаются в системах мгновенного обмена сообщениями,

Структура антивирусной программы

Антивирусные программы обычно состоят из нескольких компонентов, причем один и тот же производитель может выпускать несколько версий приложения, включающих определенный набор модулей и ориентированных на различные сферы использования.

Современные антивирусные приложения обладают следующим набором компонентов:

Антивирусный сканер. Ведет поиск вредоносных программ на дисках и в памяти устройства по запросу пользователя или по расписанию.

Антируткит. Выявляет руткиты, предназначенные для сокрытия в инфицированной системе вредоносных объектов или действий злоумышленника.

Брандмауэр. Следит за активными сетевыми соединениями, анализирует входящий и исходящий трафик, отсекая нежелательные и вредоносные данные.

Веб-антивирус. Блокирует доступ к зараженным и фишинговым сайтам, руководствуясь записями в специальной базе данных адресов.

Карантин. Подозрительные и зараженные файлы хранятся там до того момента, пока пользователь не просмотрит их и не примет решение об их удалении или допуске.

Компонент обновления. Следит за актуальностью других компонентов антивирусной программы и вирусных баз.

Компонент превентивной защиты. Обеспечивает целостность важных для работоспособности системы данных и предотвращает опасные действия программ.

Почтовый антивирус. Проверяет ссылки и вложения в сообщениях электронной почты.

Резидентный монитор. Следит за состоянием системы в режиме реального времени и блокирует попытки скачивания или запуска вредоносных программ

[704].

Троянские программы

Троянские программы в отличие от вирусов и червей не способны к самораспространению, и для их активации требуется запуск их другой вредоносной программой или пользователем. Основная задача троянских программ — вести деструктивную деятельность: от блокирования различных программ и установки рекламных баннеров до

Бэкдор предоставляет злоумышленникам возможность удаленного управления зараженными компьютерами. Такие программы позволяют выполнять на зараженном компьютере любые действия, запрограммированные злоумышленником, например открывать и копировать файлы, изменять и уничтожать файлы и данные, устанавливать и запускать сторонние программы и т.п. Бэкдоры часто используют для объединения группы компьютеров-жертв в ботнет-сеть для DDoS-атак и прочих криминальных действий.

КЕЙС В 2011 г. благодаря утечкам Wikileaks стало известно о существовании шпионского программного обеспечения под названием FinFisher (FinSpy), которое в числе прочих закупали правительства различных стран для политически мотивированной слежки за гражданами. Как указывают исследователи из компании ESET, в операциях FinFisher использовалась атака через посредника (MiTM), где указанный посредник с большой долей вероятности находился на уровне интернет-провайдера. Программное обеспечение устанавливалось на компьютер жертвы при попытке скачать и использовать некое легитимное приложение — например, при запросе дистрибутива браузера Firefox на официальном сайте компании Mozilla браузер перенаправляется на дистрибутив, зараженный FinFisher, путем отправки браузеру статуса HTTP 307 Temporary Redirect (запрошенное содержимое временно перемещено по новому адресу). Процесс переадресации скрыт от пользователя, тот продолжает считать, что скачивает официальный дистрибутив с сайта компании Mozilla [706]. Данная атака удавалась на устройствах, имеющих уязвимости в плане ИБ, — например, допускающих автоматические перенаправления и пропускающих проверку сертификатов. После заражения устройства программа FinFisher [707] способна наблюдать за практически всеми действиями, совершаемыми на устройстве, включая отправку и

Майнеры используют ресурсы зараженного компьютера для майнинга

(добычи) криптовалюты в интересах злоумышленника. Они не повреждают файлы и данные пользователя, но снижают производительность компьютера.

Руткиты предназначены для скрытия внедренных в систему определенных объектов или действий в ней управляемого злоумышленником вредоносного программного обеспечения. Руткиты предотвращают обнаружение антивирусными программами внедренных злоумышленниками инструментов (в том числе его самого) и увеличивают время работы последних на зараженном компьютере. Сам по себе руткит ничего вредоносного не делает, но такой вид программ в подавляющем большинстве случаев используется иными вредоносными программами для увеличения собственного времени жизни в пораженных системах.

Примечание. Эксплойты используются злоумышленниками для проникновения на компьютер жертвы с целью последующего внедрения вредоносного кода (например, заражения компьютеров всех посетителей взломанного сайта вредоносной программой). Также эксплойты интенсивно используются червями для проникновения на компьютер без участия администратора.

Шифровальщики (вымогатели) представляют собой троянские программы, шифрующие содержимое компьютеров и требующие от пользователя определенных действий для расшифровки, например перечисления некоторой суммы денег в качестве выкупа. Такие вредоносные программы часто пугают пользователей уголовным преследованием (например, за посещение порнографических сайтов, независимо от того, посещал их пользователь или нет), если штраф не будет быстро оплачен [709]. Это один из самых распространенных и опасных видов атак.

КЕЙС В 2020 г. хакерская группировка REvil взломала серверы компании Transform Hospital Group — ведущей британской группы специалистов по снижению веса и косметической хирургии.

К 2020 г. облачные сервисы, предоставляемые по подписке (RaaS, Ransomware- as-a-Service), из штучных инструментов превратились в массовые, удобные для хакеров [712]. Хакеру, которым, по сути, может быть любой желающий, достаточно оплатить подписку на одном из таких сервисов, чтобы воспользоваться шифровальщиком для организации атаки. Опасность шифровальщиков заключается в том, что не всегда удается восстановить зашифрованную информацию, даже если вовремя принять меры или перечислить деньги вымогателям [713]. Так, в 2017 г. более чем 20% [714] пользователей не удалось восстановить данные даже в случае перечисления выкупа. Многие шифровальщики необратимо шифруют данные, в принципе не допуская их расшифровки; в других случаях к тому времени, как шифровальщик заражает компьютер, адреса и счета злоумышленников оказываются недействительными (например, из-за блокировки правоохранительными органами). К настоящему времени шифровальщики стали своего рода хакерской индустрией, приносящей их пользователям и владельцам колоссальную прибыль. Помимо этого, атаки стали комбинированными: если раньше в ходе атаки единственной угрозой была потеря (уничтожение) данных в случае невыплаты требуемой суммы вымогателям, то сейчас хакер перед шифрованием скачивает данные и в случае несоблюдения его требования о выкупе публикует их в открытом доступе или выставляет на закрытые аукционы [715]. Нередко под видом шифровальщиков скрываются вайперы — вредоносные программы, цель которых — уничтожение данных на компьютере жертвы [716]. Единственным надежным методом защиты от шифровальщиков является превентивная защита — регулярное создание резервных копий ценной информации на автономных накопителях.

КЕЙС В 2020 г. на закрытом электронном аукционе были выставлены конфиденциальные данные, украденные с помощью шифровальщика REvil с серверов Канадской сельскохозяйственной компании. Лот содержал три базы данных и свыше 22 000 файлов, похищенных хакерами. Предварительно злоумышленники требовали выкуп у владельцев сельскохозяйственной компании, но, не получив его, выставили данные на продажу по начальной цене 50 000 долларов [717]. Примечание. Злоумышленники могут использовать так называемые hoax-программы, посылающие пользователю ложные сообщения о заражении компьютера, чтобы заставить его заплатить за навязанную услугу. К таким программам можно отнести различные утилиты, сканирующие систему и якобы обнаруживающие тысячи ошибок

Шпионские троянские программы способны скрыто наблюдать за использованием компьютера, например, фиксируя вводимые с клавиатуры символы, делая снимки экрана и записывая видео и звук с камеры и микрофона. Цель таких программ — кража паролей и прочей конфиденциальной информации, которая передается злоумышленнику, зачастую в открытом виде. В последние годы стало расти число пользователей, за которыми следят с помощью так называемого сталкерского программного обеспечения (stalkerware), позиционируемого как легальный шпионский софт. К примеру,

троян Monitor.AndroidOS.MobileTracker.a, замаскированный под приложение

Mobile Tracker Free для операционной системы Android, позиционируется как инструмент для контроля над сотрудниками различных организаций. На самом деле вредоносное приложение ведет скрытую слежку, маскируясь под системные приложения и собирая различные конфиденциальные данные. Оно похищает информацию о геолокации, переписку с помощью SMS-сообщений и в мессенджерах, записи телефонных разговоров, фото- и видеозаписи, браузерную историю, различные файлы, информацию из календаря и списка контактов, а также делает записи с помощью камеры (в том числе в режиме реального времени). Кроме того, эта программа позволяет удаленно управлять устройством жертвы [719]. Часто такие приложения обнаруживаются на устройствах жертв насилия — как домашнего, так и со стороны незнакомых жертвам преследователей. В 2020 г. от шпионского программного обеспечения пострадали по крайней мере 53 870 человек [720].

Примечание. Серьезную опасность представляют и программы класса RAT (Remote Access Trojan). Они предоставляют злоумышленнику средства дистанционного управления скомпрометированной системой, после чего тот может устанавливать и удалять любые программы, перехватывать вводимые с клавиатуры данные, управлять видеокамерой и микрофоном, считывать содержимое буфера обмена и т.п.

КЕЙС Весной 2020 г. во время пандемии COVID-19 мошенники воспользовались ситуацией и выпустили банковский троян Coronavirus Finder, за скромное вознаграждение отображающий фейковую информацию о зараженных людях поблизости. Вредоносное приложение перенаправляет пользователя на сайт с формой для ввода реквизитов банковской карты, которые впоследствии крадет, и списывает со счета жертвы все средства [721].

Провести четкую грань между различными видами вредоносных программ становится все труднее. Уже никого не удивить троянскими программами, способными заражать другие программы, и вирусами,