А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

На основе вышеизложенного можно уже сформулировать ряд практических рекомендаций пользователям:

• следует акцентировать внимание на перехватах функций user32.dll;

• необходим контроль штатных драйверов по каталогу Microsoft для своевременного обнаружения подмены драйвера;

• нужно производить анализ напредметналичияКете1Мойе-пе-рехватов и модификации машинного кода win32k.sys при помощи антируткитов;

• вследствие того что практически любой клавиатурный шпион сохраняет протоколы, мониторинг файловых операций в процессе активного ввода информации с клавиатуры позволяет обнаружить кейлоггер почти любого типа. Исключение составляют специализированные программы, протоколирующие ввод только в определенных приложениях или в заданных окнах, например в окне ввода пароля.

1. Любой антивирусный продукт. Все антивирусы в той или иной мере могут находить клавиатурные шпионы, однако клавиатурный шпион не является вирусом и в результате пользы от антивируса мало.

2. Утилиты, реализующие механизм сигнатурного поиска и эвристические механизмы поиска. Примером может служить утилита AVZ, сочетающая сигнатурный сканер и систему обнаружения клавиатурных шпионов на базе ловушек.

3. Специализированные утилиты и программы, предназначенные для обнаружения клавиатурных шпионов и блокирования их работы. Подобные программы наиболее эффективны для обнаружения и блокирования клавиатурных шпионов, поскольку как правило могут блокировать практически все разновидности клавиатурных шпионов.

Из специализированных программ интерес могут представлять коммерческие продукты PrivacyKeyboard и Anti-keylogger (http:// www.bezpeka.biz/). Интерфейс программы Anti-keylogger показан на рисунке 8.17.

Рис. 8.17. Anti-Keylogger

Программа Anti-keylogger работает в фоновом режиме и производит обнаружение программ, подозреваемых в слежении за клавиатурой. В случае необходимости можно вручную разблокировать работу любой из обнаруженных программ (например, на рисунке видно, что в список «шпионов» попали MSN Messanger и программа зачачки из Интернет FlashGet). Для обнаружение клавиатурных шпионов не применяются базы сигнатур, обнаружение ведется эвристическими методами.

Тестирование программы показало, что она эффективно противодействует клавиатурным шпионам, основанным на применении ловушек, циклического опроса и клавиатурного драйвера-фильтра.

Другим примером может служить программа Advanced Anti Keylogger ( http://www.anti-kcylogger.net).

Рис. 8.18. Advanced Anti Keylogger

В режиме обучения данная программа по логике работы напоминает Firewall — при обнаружении подозрительной активности выводится предупреждение с указанием имени и описания программы. Пользователь может выбрать действие на сеанс (разрешить, запретить), или создать постоянное правило для правило для приложения. В ходе тестов Advanced Anti Keylogger уверенно обнаружил все основные разновидности клавиатурных шпионов (на базе ловушки, циклического опроса, драйвера-фильтра). Настройки программы защищаются паролем, который задается в ходе инсталляции.

Таким образом, хотя клавиатурный шпион не является вирусом, но, тем не менее, представляет большую угрозу для пользователей, поскольку позволяет злоумышленнику следить за работой пользователя и может применяться для похищения конфиденциальной информации, в том числе паролей пользователя. Опасность клавиатурного шпиона может существенно возрасти при его сочетании с RootKit-технологией, которая позволит замаскировать присутствие клавиатурного шпиона. Еще более опасной является троянская или backdoor программа, содержащая клавиатурный шпион — его наличие существенно расширяет функции троянской программы и ее опасность для пользователя.

В начале этого раздела рассмотрим только ту информацию, которая касается компьютеров, а затем касающуюся серверов сетевого оборудования, сетей Wi-Fi, серверов и т. п.

Программные средства для поражения компьютеров

GINSU — техника, позволяющая восстановить программную закладку под названием KONGUR на целевых системах с аппаратной закладкой BULLDOZZER на PCI-шине. Например, в случае обновления или переустановки операционной системы на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением Windows от 9х до Vista.

IRATEMONK позволяет обеспечить присутствие программного обеспечения для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения MBR. Метод работает на различных дисках Western Digital, Seagate, Maxtor и Samsung. Из файловых систем поддерживаются FAT, NTFS, ЕХТЗ и UFS. Системы с RAID не поддерживаются. После внедрения IRATEMONK будет запускать свою функциональную часть при каждом включении целевого компьютера.

SWAP позволяет обеспечить присутствие программного обеспечения для шпионажа за счет использования BIOS материнской платы и НРА области жесткого диска путем исполнения кода до запуска операционной системы. Данная закладка позволяет получить удаленный доступ к различным операционным системам (Windows, FreeBSD, Linux, Solaris) с различными файловыми системами (FAT32, NTFS, ЕХТ2, ЕХТЗ, UFS 1.0). Для установки используются две утилиты: ARKSTREAM перепрошивает BIOS, TWISTEDKILT записывает в НРА область диска SWAP и его функциональная часть.

WISTFULTOLL — это плагин к программам UNITEDRAKE и STRAITBIZZARE для сбора информации па целевой системе, использует вызовы WMI и записи реестра. Возможна работа в качестве самостоятельной программы. При наличии физического доступа к системе может производить сброс полученных в ходе анализа данных на USB-накопитель.

HOWLERMONKEY представляет собой радиопередатчик малого и среднего радиуса. Является специальном радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.

JUNIORMINT миниатюрная аппаратная закладка на базе ARM-системы, которая может быть сконфигурирована для различных задач. Например, такая система может быть частью других устройств для шпионажа. Обладает следующими характеристиками: процессор ARM9 400MHz, флеш 32MB, SDRAM 64МВ, ПЛИС Vertex4/5 оснащенная 128MB DDR2.

MAESTRO-Н миниатюрная аппаратная закладка на базе ARM-системы, размером в одноцентовую монету. Характеристики довольно скромные: процессор ARM7 66 MHz, оперативная память 8 МВ, флеш 4 МВ.