Литмир - Электронная Библиотека
Содержание  
A
A
Искусство цифровой самозащиты - i_005.jpg

У нас в Кингисеппе[8] интернет был только по модему и достаточно дорогой для того времени. Звонишь по определенному номеру и потом платишь по несколько рублей за минуту на линии. Поэтому для электронной почты некоторые умельцы подняли выделенный сервер, расположили его на местном заводе «Фосфорит»[9]. Специальная программа Minihost дозванивалась до сервера и принимала/отправляла почту по протоколу UUCP[10]. Вот под этот почтовый клиент я и написал трояна на Pascal’е[11]: он должен был стащить пароли от почты и отправить тем же Minihost’ом мне на специальный адрес электронной почты. Закинул этого трояна я в местную почтовую конференцию под видом «крутого скринсейвера».

Следующий мой троян использовался как загрузчик для спам-бота[12] Festi. Задача трояна была скрытно установить бота на компьютер пользователя. Вот только одна проблема: начиная с Windows Vista Microsoft встроила в операционную систему UAC[13], который блокировал установку драйверов-руткитов.

Искусство цифровой самозащиты - i_006.jpg
Искусство цифровой самозащиты - i_007.jpg

Нужно было получить права администратора. И один из таких способов – социальная инженерия. Троян-загрузчик притворялся обновлением Adobe Flash Player[14] и при нажатии на Install запрашивал те самые права администратора, что уже не вызывало подозрений у пользователя. Далее троян имитировал процесс обновления и закрывался, выполнив свою задачу.

Этот пример хорошо иллюстрирует природу троянской программы: замаскироваться под видом чего-то вполне легального и выполнить некоторые действия без ведома и разрешения пользователя. Такие программы в подавляющем большинстве случаев служат для вредоносных целей.

Виды троянских программ:

Удаленный доступ (Backdoors)

Бэкдоры открывают злоумышленникам доступ к управлению зараженным компьютером. Злоумышленник может делать что угодно на захваченном ПК – например, копировать файлы, делать снимки экрана. Так очень часто начинается взлом целой сети предприятия. На зараженной машине находят доступы от других компьютеров в сети – рабочих станций, баз данных, почтовых серверов – и устанавливают на них, например, шифровальщика.

Дроппер (Dropper)

Название происходит от английского слова drop – сбрасывать. Дроппер несет внутри себя другой вредоносный код, который он запускает (сбрасывает) на зараженном компьютере. Например, дроппер может содержать трояна-кейлоггера, который после запуска маскируется внутри системы и перехватывает весь ввод с клавиатуры.

Загрузчик (Loader)

Так же, как и дроппер, может запускать на инфицированном компьютере произвольный код без ведома и согласия пользователя. Но, в отличиe от дроппера, загрузчик остается резидентным в памяти и может загрузить произвольный файл с удаленного сервера злоумышленника и выполнить его на целевой машине. Обычно загрузчиками пользуются поставщики загрузок (installs), которые продают эти загрузки на теневых форумах. Но об этом мы поговорим позже.

Банковские трояны

Банковские трояны встречаются наиболее часто. Их используют злоумышленники для кражи доступов в онлайн-банки, платежные системы, а также для кражи номеров кредитных карт. Вообще такие трояны обычно крадут доступы от любых сайтов, будь то ваш личный счет в PayPal или ваш аккаунт на mail.ru. Периодически полученные данные отправляются на удаленный сервер, контролируемый злоумышленником. На языке кардеров[15] подобные данные называются логами[16].

Трояны, выполняющие DDoS-атаки

Распределенные атаки типа «отказ в обслуживании» (DDoS) продолжают будоражить интернет. В этих атаках к серверу или сети обращается огромное количество запросов, как правило, это делается с использованием ботнетов[17]. В июне 2022 года произошла рекордная DDoS-атака[18]. Источником стал ботнет Mantis, состоящий из зараженных серверов и виртуальных машин. Атака достигала 26 млн запросов в секунду. Представьте, тысячи машин по всему миру слали одновременно 26 млн запросов в секунду! Такую атаку выдержит не каждая DDoS-защита, не то что сайт. Для достижения такой вычислительной мощности необходимо огромное количество ботов. Ботнеты состоят из так называемых компьютеров-зомби. На первый взгляд эти компьютеры работают нормально, однако они также используются при совершении атак. Причиной является троянская программа с бэкдором, незаметно присутствующая на компьютере и при необходимости активируемая оператором. Результатом успешных DDoS-атак является недоступность веб-сайтов или даже целых сетей.

Искусство цифровой самозащиты - i_008.jpg

Трояны, имитирующие антивирусы (Fake AV)

Трояны, имитирующиe антивирусы, относятся к классу программ-страшилок (Scareware). Такие лжеантивирусы особенно коварны. Вместо защиты устройства они являются источником серьезных проблем. Эти троянские программы имитируют обнаружение вирусов, тем самым вызывая панику у ничего не подозревающих пользователей и убеждая их приобрести эффективную защиту за определенную плату. Однако вместо полезного инструмента антивирусной проверки вы получаете пустышку, либо, что еще хуже, данные вашей карты попадают к злоумышленникам – кардерам.

Трояны-вымогатели

Этот тип троянских программ может изменять данные на компьютере, вызывая сбои в его работе, или блокировать доступ к определенным данным. Злоумышленники обещают восстановить работоспособность компьютера или разблокировать данные только после получения требуемого выкупа. Примером такого трояна является шифровальщик. Один из самых резонансных инцидентов с вымогателями-шифровальщиками за последнее время – атака на Colonial Pipeline, компанию, снабжающую топливом часть Bосточного побережья США. Шифровальщик уведомляет жертву, что ее компьютер или серверы зашифрованы, а также отправляет личный URL-адрес утечки: украденная информация загружена в интернет и ждет автоматической публикации, если организация не заплатит до определенного срока. Также хакеры сообщают, что удалят все данные жертвы из сети в случае оплаты. Режим ЧП был введен в 18 штатах США. Позже стало известно, что оператор трубопроводов Colonial Pipeline выплатил взломавшей его системы группировке хакеров DarkSide около $5 миллионов в качестве выкупа в криптовалюте сразу через несколько часов после атаки.

Искусство цифровой самозащиты - i_009.jpg

Трояны-прокси

Программа, предназначенная для анонимного доступа злоумышленника в интернет через компьютер жертвы. Т. е. злоумышленник попросту использует IP-адрес[19] жертвы для выхода в интернет. Прокси обычно используются для рассылки спама, перебора паролей, взлома сайтов или же в схемах обналичивания денег с похищенных карт (когда кардер делает покупку чужой картой в интернет-магазине).

вернуться

8

Кингисепп (до 1922 года – Ямбург[7]) – город (с 1784 года) в России, административный центр Кингисеппского района Ленинградской области и муниципального образования Кингисеппское городское поселение. Основан новгородским боярином Иваном Фёдоровичем как крепость Ям в 1384 году.

вернуться

9

ООО «Промышленная Группа «Фосфорит» – один из ведущих производителей фосфорных удобрений и кормовых фосфатов на Северо-Западе России, а также фосфоритной муки, серной и фосфорной кислот для нужд собственного производства. Его доля в российском производстве фосфорных удобрений составляет более 10 %.

вернуться

10

UUCP (сокр. от англ. Unix-to-Unix CoPy) – команда копирования файлов между двумя компьютерами под управлением операционной системы UNIX, использующая одноименный протокол. Позже появились реализации этого протокола под другие операционные системы, в том числе DOS, Windows, OS/2.

вернуться

11

Паскаль (англ. Pascal) – один из наиболее известных языков программирования, используется для обучения программированию в старших классах и на первых курсах вузов, является основой для ряда других языков.

вернуться

12

Спам-бот – это компьютерная программа или группа (пакет) компьютерных программ основной или единственной целью которой является автоматизированная рассылка рекламных сообщений – спама.

вернуться

13

Контроль учетных записей пользователей (англ. User Account Control, UAC) – компонент операционных систем Microsoft Windows, впервые появившийся в Windows Vista. Этот компонент запрашивает.

вернуться

14

Adobe Flash (ранее – Macromedia Flash или просто Flash) – мультимедийная платформа компании Adobe Systems для создания веб-приложений или мультимедийных презентаций. Использовалась для создания рекламных баннеров, анимации, игр, а также воспроизведения на веб-страницах видео- и аудиозаписей.

Поддержка Adobe Flash была прекращена 31 декабря 2020 года. С 12 января 2021 года при попытке запуска swf-файла через Adobe Flash Player вместо него будет загружена лишь кнопка, ведущая на страницу Adobe с информацией об окончании жизненного цикла платформы.

вернуться

15

Кардер (англ. Carder) – человек, который ворует деньги с банковских карт.

вернуться

16

Файл журнала (протокол, журнал; англ. log) – файл с записями о событиях в хронологическом порядке, простейшее средство обеспечения журналирования.

вернуться

17

Ботнет (англ. botnet; произошло от слов robot и network) – сеть, состоящая из некоторого количества компьютеров с запущенными ботами – автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.

вернуться

18

Источник: https://safe.cnews.ru/news/top/2022-07-20_proizoshla _krupnejshaya_v_istorii

вернуться

19

IP-адрес (от англ. Internet Protocol) – уникальный числовой идентификатор устройства в компьютерной сети, работающей по протоколу IP.

3
{"b":"858162","o":1}