Бойся троянцев, дары приносящих... (Е. Касперский, Д. Эмм, А. Гостев, М. Бланшар, "Банковское дело в Москве", N 1, январь 2005 г.)

Бойся троянцев, дары приносящих...

Что год ушедший нам оставил?

Каждое поколение "писателей" вредоносных программ стоит на плечах предшественников. Закономерно поэтому, что зародыши программ, расцветших буйным цветом в 2004-м, появились годом раньше. Lovesan "популяризовал" использование брешей в операционной системе для заражения уязвимых машин через Интернет и включал в себя возможность DDoS-атаки.

Sobig.f использовал спамерские технологии, но инициировал цепную реакцию: каждый новый вариант червя создавал сеть инфицированных компьютеров, которая использовалась как платформа для новой эпидемии.

Swen маскировался под обновление от Microsoft, призванное закрыть бреши в операционной системе. Откликаясь таким образом на растущее желание пользователей защититься от несанкционированных вторжений, вирус проникал в компьютеры с целью запуска зараженного вложения.

Эти тенденции органично перетекли в 2004 год. Характерно, что успешные, с точки зрения их авторов, вирусы являют собой, как правило, связку различных видов атак. И все большее количество таких связок содержат в себе троянскую компоненту. Так как в троянцы обычно не встроена система размножения и заражения других компьютеров, они часто воспринимаются как угроза менее опасная, чем вирусы или черви. Однако эффект появления троянца в системе опасен своей непредсказуемостью.

Едва отгремело празднование нового 2004 года, как дал о себе знать троянский прокси-сервер Mitglieder. Тысячи пользователей ICQ получили сообщение со ссылкой, ведущей на сайт, где находилась эта программа. Mitglieder использовал одну из двух уязвимостей в Microsoft Internet Explorer, позволявших установить и запустить прокси-сервер на машине без ведома пользователя.

Затем вирус открывал на машине один из портов, чтобы получать и принимать почту. В результате сеть зараженных машин стала армией "зомби", рассылающих спам по всей сети. Mitglieder сделал троянcкие прокси-серверы отдельной категорией вредоносных программ, очень близкой к распространению спама.

Троянская технология получила затем широкое распространение. Bagle - вирус, судя по всему, того же авторства, что и Mitglieder - либо устанавливал троянский прокси-сервер, либо скачивал его через сеть. Это указывает на еще одну важную характеристику угроз 2004 года: троянские компоненты использовались с целью создания платформ для дальнейшей эпидемии. Такая техника привела к широкому распространению Netsky, Mydoom и подобных червей. При достижении критической массы распространения они вызывали эпидемию. Именно таким образом Mydoom побил даже рекорды червя Sobig и стал причиной самой масштабной эпидемии в истории Интернета.

В 2004-м мы стали свидетелями битвы соперничающих вирусописателей. Netsky не просто заражал компьютеры, но и удалял любые экземпляры Mydoom, Bagle и Mimail. В довершение всего авторы Netsky объявили войну авторам Bagle. На пике "войны" каждый день появлялось несколько экземпляров обоих червей, содержавших в своем теле угрозы в адрес недругов. Авторы Bagle и Netsky также впервые использовали пароль для вложений в письма - очевидно, чтобы усложнить обнаружение вредоносной программы. В теле письма содержался пароль к архиву, так что у пользователя были все данные для открытия вложения, содержавшего вирус. Появилась практика распространения ссылок, ведущих на сайт, где находится вредоносный код. Так распространялась троянская программа Mitglieder, а Netsky рассылал письма, содержащие ссылки на ранее зараженные машины. Похожим образом вел себя Bizex, а также Snapper и Wallon.

Почтовые адреса со ссылками, как и следовало ожидать, не воспринимаются пользователями как угроза безопасности. Этот метод позволяет эффективно обойти и периметр защиты, выстроенный провайдерами: их файрволлы могут блокировать вложения с подозрительными расширениями (EXE, SCR и пр.), но письма со ссылками беспрепятственно минуют эту защиту. Несомненно, метод будет использоваться и далее - до тех пор пока пользователи не перестанут относиться спустя рукава к ссылкам, приходящим по электронной почте.

Произошло существенное увеличение числа троянских программ-шпионов для воровства конфиденциальной финансовой информации. Десятки их вариантов появляются каждую неделю.

Некоторые просто шпионят за клавиатурой, отсылая пароли, введенные пользователем, автору программы. Троянцы с более сложной структурой представляют автору полный контроль над компьютером жертвы - посылая данные на удаленные серверы и получая с них дальнейшие команды.

Именно такой тотальный контроль над компьютерами часто становится целью авторов троянских программ. Зараженные машины включаются в сети "ботов", получая от злоумышленников команды к действию на IRC-каналах или веб-сайтах. Еще более сложные троянцы, как некоторые варианты Agobot, соединяют все зараженные машины в одну P2P-сеть. Когда такая сеть ботов создана, ее можно арендовать для распространения спама или использовать при DDoS-атаках (так работали Wallon, Plexus, Zafi и Mydoom).

Растет число программ, которые сами по себе не являются вредоносными, но оставляют в системе троянскую программу (TrojanDropper) или загружают ее из сети (TrojanDownloader). Цель одна: установить на зараженной машине вредоносную программу, а вот методы - разные.

Программы класса TrojanDropper содержат в себе дополнительный код. Они либо устанавливают другую вредоносную программу, либо обновляют ее до новой версии. По сути своей, это архиватор. Часто TrojanDropper используются для внедрения уже известных троянских программ - гораздо проще написать такой архиватор, нежели совершенно нового троянца. Программа-загрузчик (TrojanDownloader) гораздо полезнее для злоумышленника. Во-первых, она меньше по размеру. Во-вторых, способна бесконечно загружать все новые и новые версии.

Использование троянцев для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и распространения спама выводит на первый план важное изменение в природе угроз безопасности - их коммерциализацию. Очевидно, что компьютерный андеграунд осознал потенциал заработка в сети с помощью собственных вредоносных творений. Сюда же можно отнести использование "зомби-машин" и распродажу зомби-сетей на аукционах для спаммеров. Или, к примеру, вымогательство, когда такая же зомби-сеть используется для показательных DDoS-атак на сайт жертвы и угрозами перейти к полноценным атакам.

Впервые в прошлом году возникли угрозы безопасности мобильных устройств. Cabir, первый вирус для мобильных телефонов, появился в июне. Это был, если можно так выразиться, "концептуальный проект". Его авторами оказалась группа, называющая себя 29A. Дело Cabir продолжили Duts в июле (дело рук той же 29A) и троянец Brador - в августе, нацелившись на платформу PocketPC.

Количество мобильных устройств растет день ото дня, а с ним и использование технологий беспроводной связи. Такие устройства достаточно сложны - они используют IP-сервисы, предоставляют доступ в Интернет и легко включаются в корпоративные сети, позволяют пользователям устанавливать дистанционное соединение с другими устройствами или сетями. Содержа в себе конфиденциальную информацию, они могут стать притягательной мишенью для атак злоумышленников, тем более, что, как правило, находятся вне пределов системы безопасности корпоративной сети..

Сколько веревочке не виться...

Но 2004-й знаменит не только преступлениями, но и наказаниями. В феврале была арестована бельгийская вирусописательница Gigabyte.

В мае задержаны два злоумышленника в Германии: Свен Яшен, сознавшийся в причастности к написанию Sasser и некоторых вариантов Netsky, и создатель бесчисленных вариантов Agobot/Phagobot. Эти аресты последовали за объявлением Microsoft наград за информацию, которая приведет к поимке авторов вирусов.

В июле венгерский подросток, называющий себя "Laszlo K", был признан виновным в распространении Magold.a, червя, эпидемия которого отгремела в Венгрии годом раньше. "Вундеркинда" приговорили к двум годам условно и выплате 2400 долларов для покрытия судебных издержек. В том же месяце в Испании был арестован и осужден за распространение троянской программы Cabrotor к двум годам тюрьмы компьютерный техник из Тайваня Оскар Лопес Хинарейос. Прошли аресты в Тайване, Канаде и Румынии. А в августе еще один подросток, Джефри Ли Парсон из Миннесоты, предстал перед судом и был обвинен в нанесении ущерба компьютерам путем создания червя Lovesan.b.

Молниеносное распространение вирусов и червей придало этой угрозе глобальный характер, и постепенно власти разных стран стали объединяться для поимки преступников. Один из таких примеров - октябрьский арест одновременно в шести странах 28 человек по обвинению в краже личных данных. В операции приняли участие разведка США, британский Национальный комитет по борьбе с преступностью, Ванкуверский департамент полиции по борьбе с финансовой преступностью и Королевская конная полиция из Канады, Европол, а также полицейские агентства в Белоруссии, Польше, Швеции, Нидерландах и Украине. Не так давно арестованный в Бостоне российский "фишер" был обвинен во множественных случаях рэкета, краже личных данных и незаконном использовании устройств для считывания информации с кредитных карт.

Что год наступивший нам готовит? Увы, описанные выше техники по-прежнему эффективны в атаках на пользователей, и вирусописатели продолжат их использование и совершенствование. Ключевой фактор в том, что эти методы хорошо зарекомендовали себя как среди авторов вредоносного кода, так и среди тех, кто платит им за создание программ. Одной из главных целей вирусописателей вполне могут стать мобильные устройства.

2004-й: тенденции вредоносных программ

Мотивация: атаки на сайты "из принципа" (ну не люблю я Microsoft) сменяются коммерческой мотивацией - создаются "сети инфицированных" машин и продаются услуги по их аренде, распространяется фишинг (кража конфиденциальной, в том числе и финансовой, информации) и др.

Способы проникновения: через "дыры" операционных систем и приложений; использование "спамерских" методов; применение "социальной инженерии"; широкое распространение троянских технологий; вирусы для мобильных устройств.

Самые серьезные атаки в 2004 году: Mydoom.a (февраль) и Sasser.a (май). Так называемые AdWare (рекламные системы) становятся одной из основных проблем компьютерной безопасности. Массовые успешные атаки на Интернет-банки. Многочисленные случаи Интернет-рэкета (DDoS-атаки с последующим вымогательством).

Е. Касперский,

Д. Эмм,

А. Гостев,

М. Бланшар,

"Лаборатория Касперского"

"Банковское дело в Москве", N 1, январь 2005 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.