Продолжение. Читать начало - Часть 1

Какие еще угрозы существуют и как с ними бороться

Руткиты

Термин "руткит” (англ. rootkit) исторически обозначает набор утилит для Unix, позволяющих повысить привилегии злоумышленника на атакуемом компьютере. С течением времени привязка к Unix ослабла и термином "руткит” вне зависимости от операционной системы начали называть технологии сокрытия деятельности определённого программного обеспечения в системе.

Перед авторами вредоносных программ всегда стояла задача максимально долго сохранять присутствие вредоносной активности в системе незаметным для пользователя и антивирусных средств. Руткиты как раз и являются технологией, позволяющей скрывать эту активность. Они используются для сокрытия сетевой активности, ключей реестра, драйверов, процессов.

В последнее время использование rootkit-технологий для сокрытия присутствия вредоносного ПО становится все более популярным. Как мы видим, число новых руткитов постоянно растет, и отслеживать их только стандартными сигнатурными антивирусными средствами невозможно. Поэтому системы обнаружения вторжений, о которых мы говорили выше, должны содержать анти-руткит технологии. Дело в том, что в процессе своей установки руткит вовсе не так уж незаметен. Руткиты предпринимают попытки внедрения в процессы, в том числе и в Task Manager (чтобы скрыть своё присутствие), устанавливают свои драйвера в систему. Все это не видно пользователю, но не остается незаметным для эффективных средств защиты. Для того чтобы результативность обнаружения руткитов была выше, производители применяют в своих проектах различные новые решения. Например, новый антивирусный движок "Лаборатории Касперского” содержит в себе обновляемый анти-руткит компонент, что позволяет оперативно добавлять в него новые данные, позволяющие обнаружить новейшие malware, использующие rootkit-технологию.

С одним из руткитов, получившим обозначение Rustock.C, связана увлекательная и практически детективная история, которую можно прочитать по адресу http://www.viruslist.com/ru/analysis?pubid=204007614.

Шпионские программы

Сейчас на рынке не существует устойчивого общепринятого определения термина spyware. Разные компании понимают этот термин несколько по-разному, создаются различные коалиции по борьбе со spyware, вырабатываются определения, но опять же единства нет. Единства нет, а spyware (шпионские программы есть) и наносят реальный ущерб пользователям.

К сожалению, многие пользователи легкомысленно относятся к проблеме spyware, считая программы этого класса безвредными. Отчасти это как раз происходит потому, что, не определившись с терминологией, представители компаний разработчиков, да и сами журналисты недостаточно четко доносят до широкой аудитории информацию о степени угрозы от spyware.

Под определение "spyware" ("шпионские программы") подпадают программы, скрытно собирающие различную информацию о пользователе компьютера и затем отправляющие её своему автору.

Эти программы иногда проникают на компьютер под видом adware-компонентов других программ и не имеют возможности деинсталляции пользователем без нарушения функционирования использующей их программы. Иногда spyware-компоненты обнаруживаются в весьма распространенных программных продуктах известных на рынке производителей.

Шпионские программы, проникающие на компьютер пользователя при помощи интернет-червей, троянских программ или при атаках хакерами уязвимостей в установленных программных продуктах, в классификации "Лаборатории Касперского" были отнесены к категории TrojanSpy. И это сделано неслучайно, т.к. этот класс spyware по поведению является самыми настоящими троянцами.

Trojan-Spy осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских переводов.

Существует множество отдельных программных продуктов, предназначенных для борьбы со spyware. Но как мы увидели грань между вредоносным программным обеспечением и spyware очень тонкая. Те же троянцы могут использоваться:

• сетевыми червями для размножения – в этом случае мы должны их отнести в класс вредоносных программ;

• злоумышленниками для слежки за пользователями – в этом случае это spyware.

Наиболее логичным в этой ситуации видится объединение антивирусных и антишпионских технологий в рамках единого комплекса. Именно такая защита реализована в комплексных решениях для персонального использования Kaspersky Internet Security 2010, Norton Internet Security 2010 и других подобных продуктах. Более того, ряд разработчиков включают механизмы борьбы со шпионами не только в решения для комплексной защиты, но и в чисто антивирусные продукты. По такому пути пошла, например, "Лаборатория Касперского”.

Компании разработчики антивирусных решений включают сигнатуры шпионских программ в свои базы, в результате пользователи получают более полную защиту. Но этим спектр защиты от spyware не ограничивается. Проактивные модули, отслеживающие подозрительную активность в системе, также являются эффективным средством борьбы не только с вредоносным программным обеспечением, но и со шпионским ПО. Здесь опять мы видим необходимость совместного использования стандартных сигнатурных методов и проактивной защиты.

Спам и фишинг

Со времени своего появления и до сегодняшнего момента, спам очень сильно эволюционировал, превратившись из навязчивой, но не слишком обременительной рекламы Центра американского английского, в огромный поток мусорных писем, которые составляют более 90% почты Рунета. Помимо того, что спам поедает трафик и отнимает у пользователей массу времени на свое удаление (во время которого под горячую руку могут попасть и нужные письма), сегодня он стал одним из основных разносчиков вирусов и прочих опасностей. Пропустить такую отличную платформу для распространения своих детищ киберпреступники не могли – спам проникает во все почтовые ящики, а множество пользователей до сих пор кликают по ссылкам, обещающим им бесплатные порнокартинки, тем самым запуская на свои ПК троянские программы.

Одним из первых и наиболее ярких примеров такого сращивания "черных” технологий является червь Sobig.c. Известно, что сетевые черви, в отличие от других вредоносных программ, имеют функции автоматического распространения (доставка зараженных писем, атака P2P-сетей, локальных сетей и пр.). Однако в ситуация с "Sobig.c" это первый случай, когда эти функции, были дополнительно "обогащены" массовой рассылкой с применением спам-технологии. Таким образом было достигнуто максимально полное покрытие пользователей интернета, в результате чего семейство червей "Sobig" мгновенно заняло первое место в списке самых распространенных вредоносных программ.

Теперь спамерские рассылки активно используется вирусописателями для распространения вредоносного ПО. Яркий пример это "вирус-шантажист” Gpcode, вызвавший эпидемию в российском сегменте Интернета. Эта вредоносная программа последовательно обходила все каталоги компьютера и шифровала по особому алгоритму все найденные файлы документов различных форматов (TXT, XLS, RAR, DOC, HTML, PDF и пр.), а также почтовые базы данных. В каждом каталоге с зашифрованными файлами появлялся файл readme.txt, в котором злоумышленник указывал адрес электронной почты для связи с ним, обещая за вознаграждение расшифровать документы.

Оказалось, что для распространения Gpcode изначально использовалась спам-рассылка на несколько тысяч адресов электронной почты, которая проходила в течение нескольких дней. Более подробно о Gpcode можно прочитать на сайте http://www.viruslist.com/ru/analysis?pubid=188790045. Пример этого вируса убедительно доказывает, что сращиванию спамерских и вирусных технологий нужно противопоставить комплексные решения защиты, включающую защиту от спама.

Раньше основным ущербом от спама было время, затраченное на прочтение спамерского письма. К сожалению, ситуация кардинально изменилась. И дело не только в использовании спамерских технологий для распространения вирусов, не менее серьезной угрозой является фишинг.

Фишинг (phishing) – вид интернет-мошенничества, заключающийся краже конфиденциальной информации, как правило, финансового характера. Фишинг-сообщения, приходящие со спамом, составляются таким образом, чтобы максимально походить на информационные письма от банковских структур или компаний известных брендов. Письма содержат ссылку на заведомо ложный сайт, специально подготовленный злоумышленниками и являющийся копией сайта организации, от якобы имени которой пришло письмо. На данном сайте пользователю предлагается ввести, например, номер своей кредитной карты и другую конфиденциальную информацию. После ввода он получает сообщение об ошибке и переадресацию на настоящий сайт, где он заново введет свои данные и получит доступ к нужной информации. Таким образом создается иллюзия того, что все в порядке, а повторный ввод данных был вызван обычным незначительным сбоем. На самом деле введенные данные отправляются к злоумышленнику. Кроме того, ссылки на фишинговые сайты могут приходить от спам-ботов через системы мгновенного обмена сообщениями – ICQ, QIP и так далее.

Для рассылки фишинговых писем злоумышленники активно используют богатый многолетний опыт спамеров и наличие в средствах защиты антиспамерских механизмов позволяет с фишерами бороться. Кроме того, в комплексах internet security существует возможность блокировать переход пользователя по фишинговым ссылкам, независимо от того, откуда он осуществляется – из ICQ-сообщения, браузера или письма. Кроме того, некоторые современные решения просто не допускают на компьютер сообщения или письма, содержащие в себе фишинговые ссылки.

Он-лайн игры, социальные сети и ботнеты

В завершении описания актуальных в 2009 году (по мнению экспертов портала www.viruslist.ru) интернет-угроз, стоит упомянуть о ботнетах, социальных сетях и сетевых играх. Естественно, сами по себе последние не представляют никакой угрозы, но, как и в случае со спамом, кибер-преступники, осознав их популярность, обратили на них свое самое пристальное внимание.

Торговля различными виртуальными игровыми предметами (доспехами, амулетами и так далее) уже давно стала очень популярной, люди хотят играть и получать от игры удовольствие, а не тратить много времени на "прокачку” персонажа до уровня, позволяющего участвовать в самых увлекательных приключениях. Оборот этой торговли достиг такого размера, что ею заинтересовались сетевые преступники – в настоящий момент существует огромное количество троянских программ, которые созданы для того, чтобы красть у пользователей логины и пароли от он-лайн игр. С помощью этих данных злоумышленники получают доступ ко всему имуществу игрока, которое впоследствии продают на сетевых аукционах. Практикуется и шантаж пользователей, которым предлагается выкупить украденные данные.

В самых популярных социальных сетях насчитывается несколько миллионов человек, ведь так приятно найти старых друзей, одноклассников, сослуживцев и иметь возможность пообщаться с ними. К сожалению, киберпреступники добрались и до этих людей. Мало кто будет подозревать подвох, если знакомый присылает тебе сообщение со ссылкой на что-то интересное, мало кто не перейдет по этому линку – именно на этом и сыграли вирусописатели, устроив несколько крупных эпидемий в "Одноклассниках”, "ВКонтакте” и некоторых других сетях. Троянская программа воровала у пользователей пароль доступа и рассылала всем его друзьям сообщения со ссылкой на зараженный ресурс. К сожалению, такая схема имела крупный успех. Кроме того, в спаме встречается масса писем, имитирующих уведомление социальной сети о новом сообщении. Естественно, переходя по ссылке из письма (которая очень похожа на настоящую, например, www.odnoklaSniki.ru или www.vkAntakte.ru), пользователь заражает свой компьютер каким-либо зловредом.

Если компьютер инфицирован, то злоумышленник может получить над ним полный контроль. И если раньше эта возможность использовалась хакерами для различных шуток (открытие и закрытие оптического привода, вывод на экран различных надписей и так далее), то сегодня зараженные ПК объединяются в зомби-сеть (ботнет), который приносит своим хозяевам немалые деньги. Рабочие станции бот-нета используются для рассылки спама, организации атак на различные серверы, распространения вирусов и так далее. Некоторые зомби-сети состоят из сотен тысяч захваченных ПК. Чем пользователю грозит попадание его машины в такую сеть? Во-первых, компьютер будет работать медленнее, во-вторых, существенно увеличится исходящий трафик, что непременно привлечет внимание провайдера и может закончится отключением от сети (в лучшем случае), а в худшем – визитом сотрудников соответствующих органов, расследующих дело об очередном компьютерном преступлении.

Когда писались антивирусы, о таких угрозах даже не подозревали, поэтому они не могут с ними эффективно бороться. Зато комплексные решения могут: модули анти-спама блокируют мусорную почту, а защита от фишинга не дает переходить по мошенническим ссылкам; сетевые экраны, на основе анализа трафика, могут обнаружить и блокировать вредоносную программу, а системы проактивной защиты справятся даже с неизвестным, только что написанным вирусом, которого еще нет в базах сигнатур.

Зачем же интегрированная защита?

Выше мы увидели, что для защиты от современных угроз нужен целый комплекс средств и только их совместное использование может обеспечить приемлемый уровень защиты.

У пользователей есть выбор: использовать набор отдельных компонентов защиты от разных вендоров или приобретать комплексную защиту.

У первого пути есть свои преимущества: как правило, специализированные решения хорошо справляются со своим узким фронтом работ. Но встает проблема состыковки этих "узких” решений: при их совместном использовании в защите могут оставаться пробелы или, наоборот, их функции будут дублироваться, что приведет к конфликтам. Такая ситуация часто возникает при совместном использовании антивирусов с элементами IDS и межсетевых экранов от разных производителей.

Кроме того, несколько решений для защиты с разным интерфейсом и логикой работы сложнее настраивать, они требуют больше системных ресурсов. Это критично даже для домашних пользователей, а уж для системных администраторов компаний проблема управления всем этим "зоопарком” становится подчас неразрешимой.

Комплексные интегрированные решения лишены всех перечисленных недостатков, они:

• обладают единой логикой работы и обеспечивают отсутствие конфликтов между компонентами защиты;

• обеспечивают многоуровневую защиту, способную отследить вредоносную активность на различных этапах жизненного цикла угрозы;

• требуют меньше системных ресурсов и легко управляются.

Уже сейчас можно сказать, что 2009 год не стал годом спада угроз информационной безопасности. А в 2010 году нас ждут как старые проблемы (вирусы, спам и так далее), которые со временем эволюционирует и становятся еще опаснее, так и относительно новые угрозы (например, атаки на мобильные устройства), которые существенно вырастут как в качественном, так и в количественном плане. Поэтому комплексное защитное решение это насущная необходимость. А для подстраховки его можно дополнить и бесплатной специализированной утилитой.