Какие
еще угрозы существуют и как с ними
бороться
Руткиты
Термин
"руткит” (англ. rootkit) исторически
обозначает набор утилит для Unix,
позволяющих повысить привилегии
злоумышленника на атакуемом компьютере.
С течением времени привязка к Unix
ослабла и термином "руткит” вне
зависимости от операционной системы
начали называть технологии сокрытия
деятельности определённого программного
обеспечения в системе.
Перед
авторами вредоносных программ всегда
стояла задача максимально долго сохранять
присутствие вредоносной активности в
системе незаметным для пользователя и
антивирусных средств. Руткиты как раз
и являются технологией, позволяющей
скрывать эту активность. Они используются
для сокрытия сетевой активности, ключей
реестра, драйверов, процессов.
В
последнее время использование
rootkit-технологий для сокрытия присутствия
вредоносного ПО становится все более
популярным. Как мы видим, число новых
руткитов постоянно растет, и отслеживать
их только стандартными сигнатурными
антивирусными средствами невозможно.
Поэтому системы обнаружения вторжений,
о которых мы говорили выше, должны
содержать анти-руткит технологии. Дело
в том, что в процессе своей установки
руткит вовсе не так уж незаметен. Руткиты
предпринимают попытки внедрения в
процессы, в том числе и в Task
Manager (чтобы скрыть своё
присутствие), устанавливают свои драйвера
в систему. Все это не видно пользователю,
но не остается незаметным для эффективных
средств защиты. Для того чтобы
результативность обнаружения руткитов
была выше, производители применяют в
своих проектах различные новые решения.
Например, новый антивирусный движок
"Лаборатории Касперского” содержит
в себе обновляемый анти-руткит компонент,
что позволяет оперативно добавлять в
него новые данные, позволяющие обнаружить
новейшие malware, использующие
rootkit-технологию.
С
одним из руткитов, получившим обозначение
Rustock.C,
связана увлекательная и практически
детективная история, которую можно
прочитать по адресу
http://www.viruslist.com/ru/analysis?pubid=204007614.
Шпионские
программы
Сейчас
на рынке не существует устойчивого
общепринятого определения термина
spyware. Разные компании
понимают этот термин несколько по-разному,
создаются различные коалиции по борьбе
со spyware, вырабатываются
определения, но опять же единства нет.
Единства нет, а spyware
(шпионские программы есть) и наносят
реальный ущерб пользователям.
К
сожалению, многие пользователи
легкомысленно относятся к проблеме
spyware, считая программы
этого класса безвредными. Отчасти это
как раз происходит потому, что, не
определившись с терминологией,
представители компаний разработчиков,
да и сами журналисты недостаточно четко
доносят до широкой аудитории информацию
о степени угрозы от spyware.
Под
определение "spyware"
("шпионские программы") подпадают
программы, скрытно собирающие различную
информацию о пользователе компьютера
и затем отправляющие её своему автору.
Эти
программы иногда проникают на компьютер
под видом adware-компонентов
других программ и не имеют возможности
деинсталляции пользователем без
нарушения функционирования использующей
их программы. Иногда spyware-компоненты
обнаруживаются в весьма распространенных
программных продуктах известных на
рынке производителей.
Шпионские
программы, проникающие на компьютер
пользователя при помощи интернет-червей,
троянских программ или при атаках
хакерами уязвимостей в установленных
программных продуктах, в классификации
"Лаборатории Касперского" были
отнесены к категории TrojanSpy.
И это сделано неслучайно, т.к. этот класс
spyware по поведению является
самыми настоящими троянцами.
Trojan-Spy
осуществляют электронный шпионаж за
пользователем зараженного компьютера:
вводимая с клавиатуры информация, снимки
экрана, список активных приложений и
действия пользователя с ними сохраняются
в какой-либо файл на диске и периодически
отправляются злоумышленнику. Троянские
программы этого типа часто используются
для кражи информации пользователей
различных систем онлайновых платежей
и банковских переводов.
Существует
множество отдельных программных
продуктов, предназначенных для борьбы
со spyware. Но как мы увидели
грань между вредоносным программным
обеспечением и spyware очень
тонкая. Те же троянцы могут использоваться:
Наиболее
логичным в этой ситуации видится
объединение антивирусных и антишпионских
технологий в рамках единого комплекса.
Именно такая защита реализована в
комплексных решениях для персонального
использования Kaspersky
Internet Security
2010, Norton Internet
Security 2010 и других подобных
продуктах. Более того, ряд разработчиков
включают механизмы борьбы со шпионами
не только в решения для комплексной
защиты, но и в чисто антивирусные
продукты. По такому пути пошла, например,
"Лаборатория Касперского”.
Компании
разработчики антивирусных решений
включают сигнатуры шпионских программ
в свои базы, в результате пользователи
получают более полную защиту. Но этим
спектр защиты от spyware не
ограничивается. Проактивные модули,
отслеживающие подозрительную активность
в системе, также являются эффективным
средством борьбы не только с вредоносным
программным обеспечением, но и со
шпионским ПО. Здесь опять мы видим
необходимость совместного использования
стандартных сигнатурных методов и
проактивной защиты.
Спам
и фишинг
Со
времени своего появления и до сегодняшнего
момента, спам очень сильно эволюционировал,
превратившись из навязчивой, но не
слишком обременительной рекламы Центра
американского английского, в огромный
поток мусорных писем, которые составляют
более 90% почты Рунета. Помимо того, что
спам поедает трафик и отнимает у
пользователей массу времени на свое
удаление (во время которого под горячую
руку могут попасть и нужные письма),
сегодня он стал одним из основных
разносчиков вирусов и прочих опасностей.
Пропустить такую отличную платформу
для распространения своих детищ
киберпреступники не могли – спам
проникает во все почтовые ящики, а
множество пользователей до сих пор
кликают по ссылкам, обещающим им
бесплатные порнокартинки, тем самым
запуская на свои ПК троянские программы.
Одним
из первых и наиболее ярких примеров
такого сращивания "черных” технологий
является червь Sobig.c. Известно, что сетевые
черви, в отличие от других вредоносных
программ, имеют функции автоматического
распространения (доставка зараженных
писем, атака P2P-сетей, локальных сетей
и пр.). Однако в ситуация с "Sobig.c"
это первый случай, когда эти функции,
были дополнительно "обогащены"
массовой рассылкой с применением
спам-технологии. Таким образом было
достигнуто максимально полное покрытие
пользователей интернета, в результате
чего семейство червей "Sobig" мгновенно
заняло первое место в списке самых
распространенных вредоносных программ.
Теперь
спамерские рассылки активно используется
вирусописателями для распространения
вредоносного ПО. Яркий пример это
"вирус-шантажист” Gpcode, вызвавший
эпидемию в российском сегменте Интернета.
Эта вредоносная программа последовательно
обходила все каталоги компьютера и
шифровала по особому алгоритму все
найденные файлы документов различных
форматов (TXT, XLS, RAR, DOC, HTML, PDF и пр.), а также
почтовые базы данных. В каждом каталоге
с зашифрованными файлами появлялся
файл readme.txt, в котором злоумышленник
указывал адрес электронной почты для
связи с ним, обещая за вознаграждение
расшифровать документы.
Оказалось,
что для распространения Gpcode изначально
использовалась спам-рассылка на несколько
тысяч адресов электронной почты, которая
проходила в течение нескольких дней.
Более подробно о Gpcode можно прочитать
на сайте http://www.viruslist.com/ru/analysis?pubid=188790045.
Пример этого вируса убедительно
доказывает, что сращиванию спамерских
и вирусных технологий нужно противопоставить
комплексные решения защиты, включающую
защиту от спама.
Раньше
основным ущербом от спама было время,
затраченное на прочтение спамерского
письма. К сожалению, ситуация кардинально
изменилась. И дело не только в использовании
спамерских технологий для распространения
вирусов, не менее серьезной угрозой
является фишинг.
Фишинг
(phishing) – вид
интернет-мошенничества, заключающийся
краже конфиденциальной информации, как
правило, финансового характера.
Фишинг-сообщения, приходящие со спамом,
составляются таким образом, чтобы
максимально походить на информационные
письма от банковских структур или
компаний известных брендов. Письма
содержат ссылку на заведомо ложный
сайт, специально подготовленный
злоумышленниками и являющийся копией
сайта организации, от якобы имени которой
пришло письмо. На данном сайте пользователю
предлагается ввести, например, номер
своей кредитной карты и другую
конфиденциальную информацию. После
ввода он получает сообщение об ошибке
и переадресацию на настоящий сайт, где
он заново введет свои данные и получит
доступ к нужной информации. Таким образом
создается иллюзия того, что все в порядке,
а повторный ввод данных был вызван
обычным незначительным сбоем. На самом
деле введенные данные отправляются к
злоумышленнику. Кроме того, ссылки на
фишинговые сайты могут приходить от
спам-ботов через системы мгновенного
обмена сообщениями – ICQ,
QIP и так далее.
Для
рассылки фишинговых писем злоумышленники
активно используют богатый многолетний
опыт спамеров и наличие в средствах
защиты антиспамерских механизмов
позволяет с фишерами бороться. Кроме
того, в комплексах internet
security существует возможность
блокировать переход пользователя по
фишинговым ссылкам, независимо от того,
откуда он осуществляется – из
ICQ-сообщения, браузера
или письма. Кроме того, некоторые
современные решения просто не допускают
на компьютер сообщения или письма,
содержащие в себе фишинговые ссылки.
Он-лайн
игры, социальные сети и ботнеты
В
завершении описания актуальных в 2009
году (по мнению экспертов портала
www.viruslist.ru)
интернет-угроз, стоит упомянуть о
ботнетах, социальных сетях и сетевых
играх. Естественно, сами по себе последние
не представляют никакой угрозы, но, как
и в случае со спамом, кибер-преступники,
осознав их популярность, обратили на
них свое самое пристальное внимание.
Торговля
различными виртуальными игровыми
предметами (доспехами, амулетами и так
далее) уже давно стала очень популярной,
люди хотят играть и получать от игры
удовольствие, а не тратить много времени
на "прокачку” персонажа до уровня,
позволяющего участвовать в самых
увлекательных приключениях. Оборот
этой торговли достиг такого размера,
что ею заинтересовались сетевые
преступники – в настоящий момент
существует огромное количество троянских
программ, которые созданы для того,
чтобы красть у пользователей логины и
пароли от он-лайн игр. С помощью этих
данных злоумышленники получают доступ
ко всему имуществу игрока, которое
впоследствии продают на сетевых
аукционах. Практикуется и шантаж
пользователей, которым предлагается
выкупить украденные данные.
В
самых популярных социальных сетях
насчитывается несколько миллионов
человек, ведь так приятно найти старых
друзей, одноклассников, сослуживцев и
иметь возможность пообщаться с ними. К
сожалению, киберпреступники добрались
и до этих людей. Мало кто будет подозревать
подвох, если знакомый присылает тебе
сообщение со ссылкой на что-то интересное,
мало кто не перейдет по этому линку –
именно на этом и сыграли вирусописатели,
устроив несколько крупных эпидемий в
"Одноклассниках”, "ВКонтакте” и
некоторых других сетях. Троянская
программа воровала у пользователей
пароль доступа и рассылала всем его
друзьям сообщения со ссылкой на зараженный
ресурс. К сожалению, такая схема имела
крупный успех. Кроме того, в спаме
встречается масса писем, имитирующих
уведомление социальной сети о новом
сообщении. Естественно, переходя по
ссылке из письма (которая очень похожа
на настоящую, например, www.odnoklaSniki.ru
или www.vkAntakte.ru),
пользователь заражает свой компьютер
каким-либо зловредом.
Если
компьютер инфицирован, то злоумышленник
может получить над ним полный контроль.
И если раньше эта возможность использовалась
хакерами для различных шуток (открытие
и закрытие оптического привода, вывод
на экран различных надписей и так далее),
то сегодня зараженные ПК объединяются
в зомби-сеть (ботнет), который приносит
своим хозяевам немалые деньги. Рабочие
станции бот-нета используются для
рассылки спама, организации атак на
различные серверы, распространения
вирусов и так далее. Некоторые зомби-сети
состоят из сотен тысяч захваченных ПК.
Чем пользователю грозит попадание его
машины в такую сеть? Во-первых, компьютер
будет работать медленнее, во-вторых,
существенно увеличится исходящий
трафик, что непременно привлечет внимание
провайдера и может закончится отключением
от сети (в лучшем случае), а в худшем –
визитом сотрудников соответствующих
органов, расследующих дело об очередном
компьютерном преступлении.
Когда
писались антивирусы, о таких угрозах
даже не подозревали, поэтому они не
могут с ними эффективно бороться. Зато
комплексные решения могут: модули
анти-спама блокируют мусорную почту, а
защита от фишинга не дает переходить
по мошенническим ссылкам; сетевые
экраны, на основе анализа трафика, могут
обнаружить и блокировать вредоносную
программу, а системы проактивной защиты
справятся даже с неизвестным, только
что написанным вирусом, которого еще
нет в базах сигнатур.
Зачем
же интегрированная защита?
Выше
мы увидели, что для защиты от современных
угроз нужен целый комплекс средств и
только их совместное использование
может обеспечить приемлемый уровень
защиты.
У
пользователей есть выбор: использовать
набор отдельных компонентов защиты от
разных вендоров или приобретать
комплексную защиту.
У
первого пути есть свои преимущества:
как правило, специализированные решения
хорошо справляются со своим узким
фронтом работ. Но встает проблема
состыковки этих "узких” решений: при
их совместном использовании в защите
могут оставаться пробелы или, наоборот,
их функции будут дублироваться, что
приведет к конфликтам. Такая ситуация
часто возникает при совместном
использовании антивирусов с элементами
IDS и межсетевых экранов
от разных производителей.
Кроме
того, несколько решений для защиты с
разным интерфейсом и логикой работы
сложнее настраивать, они требуют больше
системных ресурсов. Это критично даже
для домашних пользователей, а уж для
системных администраторов компаний
проблема управления всем этим "зоопарком”
становится подчас неразрешимой.
Комплексные
интегрированные решения лишены всех
перечисленных недостатков, они:
обладают
единой логикой работы и обеспечивают
отсутствие конфликтов между компонентами
защиты;
обеспечивают
многоуровневую защиту, способную
отследить вредоносную активность на
различных этапах жизненного цикла
угрозы;
требуют
меньше системных ресурсов и легко
управляются.
Уже
сейчас можно сказать, что 2009 год не стал
годом спада угроз информационной
безопасности. А в 2010 году нас ждут как
старые проблемы (вирусы, спам и так
далее), которые со временем эволюционирует
и становятся еще опаснее, так и относительно
новые угрозы (например, атаки на мобильные
устройства), которые существенно вырастут
как в качественном, так и в количественном
плане. Поэтому комплексное защитное
решение это насущная необходимость. А
для подстраховки его можно дополнить
и бесплатной специализированной
утилитой.
|