А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Троянские программы работают аналогично этой истории и это-только одно из распространенных приложений, которое используется для атакующих компьютеров. Новые игры, новое бесплатное программное обеспечение на электронных открытках — могут быть такими троянами и они могут навредить вашим данным или могут выполнить функцию закладки. Поэтому следует быть осторожными с любым программным обеспечением, которое неизвестное лицо предлагает вам.

В общем случае любая так называемая программная закладка — это техническое решение, которой злоумышленник может использовать для входа в компьютерную систему. Обычные пользователи используют защищенные пути, использующие блоки логанов и пароли для входа в систему. Для большей защиты системы даже администратор системы может добавить некоторые защитные свойства к этой системе, но злоумышленник может легко использовать установленную закладку для входа в систему без пароля или авторизации.

Как известно, большинство злоумышленников должны уметь маскировать и защищать свою закладку в системе жертве. Им не нравится, что бы какой то другой злоумышленник использовал это же слабое место для входа в систему жертвы и из менял их конфигурации. Поэтому опытной злоумышленник после получения доступа всегда защищает обнаруженное им слабое место, которое используется для получения доступа к системе.

Злоумышленник всегда старается сделать очень защищенную закладку, даже еще более защищенную, чем предусмотренный разработчиками путь для входа в систему. Обычный пользователь может использовать только один пароль для пользования системой, но подобная несанкционированная закладка может потребовать использования нескольких аутентификаций или SSH слоя, чтобы позволить злоумышленнику многократно пользоваться атакуемой системой. Эксперты знают, что обычно сложнее войти в систему жертвы из инсталлированной закладки в сравнении с процедурой обычной регистрации.

В большинстве случаев после установления факта перехвата управления системой со стороны злоумышленника, он устанавливает специальную программную закладку в системе жертвы для получения неограниченного доступа в будущем.

Один из наиболее широко используемых на практике способов инсталляции закладки состоит в использовании программного обеспечения ActiveX. Как только пользователь посещает сайт, встроенный ActiveX может автоматически запускаться в системе. При этом большинство сайтов в интернете отображают сообщение о запуске ActiveX в форме голосового обмена информации в реальном времени, загружая приложения или проверяя пользователя. При этом очень часто используется ряд приложений для улучшения возможностей сайтов (приложения Java) которые имеют ограниченный доступ к системе, но с ActiveX злоумышленник имеет полное управление над машиной, которая выполняет данный ActiveX.

Microsoft много раз официально сообщала о реализации мероприятий политики безопасности для защиты системы от этого мошенничества. Например должно соблюдаться условие, что разработчики ActiveX обязаны подписать свои опубликованные файлы ActiveX и подпись должна быть действующей. Если какой-либо пользователь хочет запустить ActiveX без действующей подписи, браузер показывает предупреждение касательно проблем с безопасностью, которые могут случиться после запуска ActiveX. К сожалению, большинство пользователей не обращают внимания на это предупреждение и запускают любой ActiveX, который встраивается для просмотра страницы сайта. Следует иметь ввиду, что это может быть очень опасным — запускать ActiveX без действующей подписи из неизвестного источника.

Злоумышленники обычно используют различные механизмы для того, чтобы сделать свои закладки необнаруживаемыми и неотслеживаемыми. Если системный администратор видит необычное поведение системы, он может понять, что может быть вызвано вирусом или закладкой, поэтому он будет вынужден искать закладку и злоумышленник больше не сможет получить доступ к системе. Если администратор сможет отследить назначение таких пакетов, он также сможет в итоге выявить злоумышленника. По этой причине опытные злоумышленники всегда стараются спрятать свои связи и задачи закладки. При этом они используют несколько способов выполнить подобное сокрытие, некоторые из них мы коротко ниже описываем.

Во многих ситуациях злоумышленники используют криптографию для кодирования передаваемых данных между системой жертвой и злоумышленником. Они использую различные методы шифрования для подачи команд и передачи данных между машиной жертвой и системой злоумышленника, прозрачные для системного администратора при мониторинге сетевого трафика и поведения.

В большинстве случаев нет необходимости использовать какой-то оригинальный метод шифрования, так как злоумышленник обычно использует только стандартные алгоритмы кодирования для сокрытия данных во время передачи. Если злоумышленник использует очень мощный метод (типа RSA), он может вызвать увеличенную загрузку ЦПУ машины жертвы и время передачи удлинится.

В этих случаях злоумышленники обычно используют так называемые симметричные методы шифрования AES. Sarpent — один из таких распространенных методов, который используется с помощью закладок. Хотя Sarpent очень мощный, по прежнему он может 586

быть отражен с помощью атаки XSL, но он значительно мощнее, чем другие методы AES и злоумышленники используют это, так как они верят, что XSL пригоден для разрушения эффективного алгоритма типа Serpent.

Другие алгоритмы — SSH или VPN является стандартными методами, которые злоумышленники используют для шифрования трафика. Отправка пакетов с использованием VPN или SSH не обнаруживаема с помощью брандмауэра и администратора и злоумышленник может использовать стандартные сервисы, которые уже инсталлированы в сети для шифрования пакетов под управлением закладки.

Хотя программные закладки могут быть очень опасными, но посколку они работают, как обычное приложение, они могут легко обнаруживаться. Взглянув на список задач системы с помощью сервисов или системного реестра можно увидеть закладку. Опытный злоумышленник использует более мощные закладки, называемые «корневые комплекты». Корневые комплекты работают, как часть операционной системы и не позволяют пользователю увидеть реальные задачи или сервисы. Операционная система будет под полным управлением злоумышленника и может спрятать любое, что угодно, в системе. Корневые комплекты, в свою очередь разделяются на две основные группы с различной архитектурой, «Классические корневые комплекты» и «Корневые комплекты Кернеля».