Валентин Холмогоров - Pro Вирусы
- Название:Pro Вирусы
- Автор:
- Жанр:
- Издательство:ООО «Страта»
- Год:2015
- Город:СПб.
- ISBN:978-5-906150-31-8
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Валентин Холмогоров - Pro Вирусы краткое содержание
Время энтузиастов-одиночек, создававших компьютерные вирусы на заре информационной эпохи, давно прошло: в наши дни разработкой и распространением вредоносных программ занимаются хорошо организованные преступные группировки, имеющие жесткую иерархию и напоминающие по своей структуре настоящие мафиозные кланы. Объем этого подпольного рынка составляет сотни миллионов долларов.
Книга рассказывает об истории возникновения и развития технологий компьютерных вирусов, их разновидностях, внутренней архитектуре, способах распространения и принципах действия. Книга позволит читателям познакомиться с таинственным теневым миром киберпреступности, представители которого ежедневно осуществляют атаки на компьютеры простых пользователей по всему миру.
Pro Вирусы - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
К слову, комплекты скриптов для реализации TDS являются весьма популярным и востребованным товаром на всевозможных подпольных форумах.
Ресурсы «для взрослых»
Порнографические ресурсы являются одним из самых массовых источников «компьютерной заразы». Подцепить троянскую программу при просмотре порно — гораздо более вероятно, чем не подцепить ее. В процессе посещения порносайтов у пользователя обычно притупляется критическое мышление, поэтому он с большей долей вероятности нажмет на какую-нибудь кнопку во всплывающем окне, загрузит исполняемый файл под видом фотографии или попытается скачать кодек, якобы необходимый для просмотра видеоролика. Этим и пользуются многочисленные распространители вирусов и троянцев. Число случаев заражения вредоносным ПО среди пользователей ресурсов «для взрослых», по статистике, значительно выше по сравнению с людьми, не посещающими интернет-ресурсы подобной категории.
Взломанные сайты
В последние годы значительно увеличилось количество успешных взломов различных веб-сайтов, работающих с использованием популярных систем управления контентом (CMS, Content Management Systems) с открытым исходным кодом, таких как, например, Wordpress или Joomla. CMS позволяют администраторам сайтов менять опубликованный на собственном интернет-ресурсе контент с использованием удобной административной панели, не прибегая к необходимости вручную править структуру веб-страниц или код разметки гипертекста. Во встроенном в CMS редакторе можно добавлять на страницы сайта текст, иллюстрации, таблицы, менять оформление ресурса, добавлять или удалять разделы, выполнять другие редакторские операции.
Поскольку такие системы управления контентом, как Wordpress и Joomla, установлены на сотнях тысяч сайтов в Интернете, а их исходный код общедоступен и открыт для изучения, злоумышленники зачастую отыскивают в нем уязвимости, которые впоследствии используют для незаконного взлома таких сайтов. Вот лишь некоторые пути, используемые злоумышленниками для достижения этих целей:
• использование уязвимостей в системе авторизации административного интерфейса CMS или подсистеме обработки сессий;
• SQL-инъекции (внедрение в запросы к используемой «движком» реляционной базе данных некорректно обрабатываемых данных);
• создание и распространение бесплатных плагинов и компонентов для CMS, включающих бэкдоры или намеренно оставленные уязвимости;
• создание и распространение бесплатных шаблонов дизайнерского оформления для CMS, включающих намеренно оставленные уязвимости;
• хищение логинов и паролей для доступа к сайтам по протоколу FTP с использованием троянцев-шпионов и других вредоносных программ;
• фишинг — рассылка администраторам сайтов на адреса электронной почты, полученные с помощью общедоступной системы Whois, писем якобы от имени службы техподдержки хостинг-провайдера с просьбой сменить пароль и ссылкой на поддельную страницу авторизации;
• взлом методом грубой силы (брутфорс).
Существуют и троянцы, специально разработанные для целенаправленного взлома веб-сайтов. Например, вредоносная программа Trojan.WPCracker была ориентирована на взлом систем управления конкретных сайтов путем последовательного перебора паролей, при этом список целевых ресурсов передавали ей злоумышленники с управляющего сервера.
Взломав сайт, киберпреступники обычно загружают на него шелл-скрипт, открывающий доступ к файловой системе атакованного интернет-ресурса, либо размещают в различных файлах, являющихся компонентами CMS, сценарии для перенаправления посетителей сайта на вредоносные ресурсы (элементы TDS) или для непосредственной загрузки троянцев. Отыскать такие «закладки» порой не под силу даже самим администраторам атакованного интернет-ресурса, поскольку вредоносный код обычно оказывается обфусцирован и спрятан глубоко в недрах служебных файлов CMS. Нередко преступники продают доступ к взломанным сайтам третьим лицам (как правило, другим злоумышленникам) с целью получения непосредственного дохода.
Атаки типа MITM
Атаки типа MITM (Man in the middle — «человек посередине») — это способ атак, при которых злоумышленник внедряется в канал связи между отправителем и получателем информации и может видоизменять эту информацию «на лету» непосредственно в процессе ее передачи.
Примером успешной реализации такой атаки в целях распространения вредоносного ПО можно назвать инцидент с использованием троянца OnionDuke, заражавшего выходные узлы сети TOR, в результате чего весь трафик, транслировавшийся через эти узлы, оказывался инфицированным. При попытке пользователя скачать какую-либо программу из сети TOR через скомпрометированный узел она автоматически оказывалась зараженной вирусом.
Случаи практического применения технологии MITM конкретно в целях распространения угроз достаточно редки, однако злоумышленники часто используют ее в целях сниффинга — анализа сетевого трафика для извлечения оттуда различной полезной информации, например логинов и паролей для доступа к тем или иным интернет-ресурсам.
Глава 6. Технологии заражения
О том, какие именно деструктивные функции выполняют на инфицированном компьютере различные вредоносные программы, а также о том, какой транспорт они используют для проникновения в атакуемую систему, мы побеседовали в предыдущих главах. Настало время кратко обсудить методики, используемые вирусами и троянцами для заражения ПК.
Эта глава содержит определенный объем сугубо технической информации, поэтому читатель, не желающий вникать в различные наукообразные сложности, может пропустить данный раздел.
Дроппер
Несмотря на довольно скромные размеры (средний размер вредоносной программы составляет 60–100 килобайт) ряд современных вредоносных приложений, как правило, включает в себя несколько модулей, реализующих различные функции. Один из таких модулей принято называть дроппером , он может быть реализован как в виде отдельного файла, так и в качестве составного компонента сложной угрозы.
Например, широко распространенные троянцы семейства MulDrop представляют собой троянцев-дропперов: основное (и единственное) назначение этих вредоносных программ — установка на атакуемый компьютер другого троянца, который хранится внутри контейнера Trojan.MulDrop, как одна матрешка в другой (как правило — в упакованном и зашифрованном виде). В отличие от троянцев-загрузчиков (Trojan.Download), Trojan.MulDrop не скачивает «полезную нагрузку» из Интернета, а извлекает ее «из себя».
Иными словами, дроппер — это объект, осуществляющий извлечение содержащихся в нем основных модулей вируса или троянца, их распаковку и установку в операционной системе. Основные компоненты вредоносной программы при этом могут помещаться дроппером, например, в одну из папок на диске или загружаться непосредственно в оперативную память. Основная функция дроппера — сохранить в атакуемой системе все компоненты вредоносного приложения, при необходимости зарегистрировать их в автозагрузке и передать им управление.
Читать дальшеИнтервал:
Закладка:
