А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Классические корневые комплекты

Классические корневые комплекты сосредотачиваются на операционных системах на основе UNIX, таких, как Linux и SunOS. Обычно, в этих Корневых комплектах злоумышленники заменяют файл /bin/login другой версией, которая позволяет злоумышленнику использовать свое собственное имя и пароль для входа в систему. В этой ситуации если системный администратор меняет корневой пароль или ограничивает доступ корневого пользователя для дистанционной регистрации в системе, злоумышленник может регистрироваться с помощью своего собственного пароля. Он может также использовать для сохранения паролей других пользователей в базе данных злоумышленника.

Иногда классические корневые комплексы меняют команду ifconfig чтобы скрыть флаги карты сети от глаз администратора. Если они не меняют классический файл ifconfig во время пассивного прослушивания сети злоумышленником, администратор может увидеть флаг PROMISC и он может понять, что работает программа пассивного прослушивания сети.

Можно указать другие команды UNIX, которые обычно меняют под воздействие классических корневых комплектов для скрытия — du, find, is, netstat и ps.

Корневые комплекты Кернеля

Корневые комплекты Кернеля заменяют сами себя на так называемый «кернель» (ядро) операционной системы. В этом случае после запуска приложения операционная система сообщает результаты, которые желает злоумышленник. С корневыми комплектами Кернеля все процессы, задачи, конфигурации сети, номера портов, содержимое файлов и любое другое, могут представиться самим себе иным образом и злоумышленник может понудить операционную систему «лгать» относительно всего, что бы не захотел знать пользователь или администратор.

В случае применения корневых комплектов Кернеля обнаружение и отслеживание закладок очень сложно, поскольку и они даже могут останавливать антивирус или мониторы системы. Это самый мощный способ внедрения закладок.

Использование различных протоколов и номеров портов

Злоумышленник может использовать случайный номер порта вместо стандартных портов для работы сервисных программ и машины жертвы. Неожиданная работа сервиса SSH по порту 22, который всегда контролируется администратором, может вызвать отслеживание атаки системным администратором. Поэтому большинство злоумышленников использует другие номера портов для усложнения обнаружения работающих сервисов злоумышленника.

Некоторые закладки работают более профессионально. Они меняют номера портов используя протокол во время атаки. Например, «умная» закладка может изменить протокол связи от TCP на UDP и даже ICMP. Если системный администратор блокирует порт или протокол на шлюзе, закладка может автоматически переключиться на другой протокол или номер порта и позволить злоумышленнику подключиться к системе.

Реверсное управление

Большинство брандмауэров или администраторов блокируют некоторые соединения с внешним миром. Они могут позволить локальному пользователю только просматривать сайты и не более. Это может быть даже жестче с системой NAT и давая приватные адреса IP, становится невозможным для злоумышленника соединиться с системой, которая существует на приватной LAN.

Закладки могут использовать другую стратегию в этих ситуациях. Например — злоумышленник запускает свой собственный сервер по конкретному IP адресу и закладка пытается соединиться с сервером внутри брандмауэра и запрашивать с сервера злоумышленника команд, которые следует выполнять на машине жертве. Закладка может также использовать стандартный протокол HTTP для подключения к серверу злоумышленника и сервер будет подавать команду в формате HTTP. Это выглядит, как просматривание по сети для брандмауэра или администратора. Эта стратегия может также работать из-за громадной системы брандмауэра и действительно сложна для обнаружения.

Единственный способ для обнаружения этих соединений состоит в мониторинге числа запросов, которые посылаются системой АО особому адресу IP. Иногда злоумышленники используют объединение в цепочку множества серверов по различным IP адресам для случайного подключения к системе жертве. Этот метод даже сложнее для защиты.

Временная последовательность реализации закладки

Имеется множество сервисов, которые используются для обновления систем во время времени простоя. Команда Стоп на машинах UNIX или задачи Schedule на машинах Windows это примеры таких сервисов.

Злоумышленники могут использовать эти сервисы для использования закладок в заданное время. Например, используя таблицу Cron машины UNIX, закладка может начать работать в 4 часа утра и позволить злоумышленнику подключиться к системе, время, когда в офисе отсутствует администратор.

По мнению, большинства пользователей компьютерных устройств и информационных систем на их основе, бэкдор является вредоносной программой, которая используется злоумышленниками для получения несанкционированного удаленного доступа к компьютерной системе, за счет уязвимости в системе безопасности. Бэкдор работает в фоновом режиме и скрывается от пользователя. Он очень похож на известные вредоносные вирусы, и поэтому его довольно трудно обнаружить, однако бэкдор это один из самых опасных типов кибероружия, так как он дает злоумышленникам возможность выполнять практически любые возможные действия на зараженном компьютере. Злоумышленник может использовать бэкдор, чтобы следить за пользователем, удаленно управлять его файлами, устанавливать любое дополнительное программное обеспечение, контролировать всю систему ПК и атаковать другие хосты. Часто программный бэкдор имеет дополнительные, разрушительные возможности, такие как выполнение скриншотов, заражение и шифрование файлов. Такой паразит представляет собой сочетание различных, секретных и безопасных угроз, которые работают автономно и вообще не требуют управления.

Большинство бэкдоров специалистами по компьютерной безопасности до сих пор считаются вредоносными программами, которые должны каким-то образом проникнуть в компьютер. Тем не менее, некоторые паразиты даже не требуют специальных действий по их установке, так как их части уже заранее могут быть интегрированы в программное обеспечение, которое работает на удаленном хосте. Программисты иногда оставляют такие бэкдоры в своем программном продукте для диагностики и устранения возможных неполадок, которые могут быть выявлены в дальнейшем, в ходе эксплуатации спроектированного устройства. Но поэтому, хакеры легко обнаруживают и используют их только для того, чтобы взломать систему.