Электронная библиотека » Дмитрий Артимович » » онлайн чтение - страница 2


  • Текст добавлен: 1 марта 2024, 06:41


Автор книги: Дмитрий Артимович


Жанр: Компьютеры: прочее, Компьютеры


Возрастные ограничения: +12

сообщить о неприемлемом содержимом

Текущая страница: 2 (всего у книги 9 страниц) [доступный отрывок для чтения: 2 страниц]

Шрифт:
- 100% +
Вирусы

В 2000 году широкой общественности представили новую операционную систему Windows 2000. И мы с братом решили ее попробовать на своем домашнем компьютере скромной конфигурации Intel Celeron 266, 64 Mб памяти, 4 гигабайта hdd. Достали пиратский компакт-диск и запустили инсталлятор прямо из-под Windows 98; система что-то скопировала и ушла в перезагрузку. Windows 2000 установила свой загрузчик, который позволял выбрать либо старую ОС Win98, либо новую Win2000.

Уже на новую Win2000 мы тут же установили свеженький AVP[20]20
  AVP (аббревиатура, образованная из букв названия AntiViral Toolkit Pro) – антивирус Евгения Касперского. В 2000 году был переименован в Антивирус Касперского.


[Закрыть]
. AVP при старте запустил сканирование и весело захрюкал (при обнаружение вируса антивирус издавал хрюкающий звук), когда нашел множество файлов, зараженных вирусом Virus.Win9x.CIH.

26 апреля 1999 года, в годовщину Чернобыльской аварии, вирус активизировался и уничтожал данные на жестких дисках инфицированных компьютеров. На некоторых компьютерах было испорчено содержимое микросхем BIOS[21]21
  BIOS (от англ. Basic Input/Output System) – это набор микропрограмм, которые позволяют произвести настройку отдельных комплектующих системного блока, а также загрузку операционной системы и прочую настройку важных параметров. Дословно BIOS можно назвать базовой системой ввода-вывода. Сами микропрограммы находятся в энергонезависимой памяти на материнской плате компьютера.


[Закрыть]
. Именно совпадение даты активации вируса и даты аварии на ЧАЭС дало вирусу второе название – «Чернобыль», которое в народе даже более известно, чем CIH.



По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру. На этих компьютерах сработала «логическая бомба» – была уничтожена информация на жестких дисках и повреждены данные на микросхемах BIOS. По данным The Register, 20 сентября 2000 года власти Тайваня арестовали создателя этого знаменитого компьютерного вируса.

При запуске зараженного файла CIH помещает свой код в память Windows, перехватывая запуск EXE-файлов и записывая в них свою копию. В зависимости от текущей даты вирус способен повреждать данные на Flash BIOS и жестких дисках компьютера.

Компьютерные вирусы – это вредоносное программное обеспечение, часто исполняемые файлы, которые могут копироваться и передаваться с одного компьютера на другой с помощью устройств передачи файлов. Они могут присоединяться к другому исполняемому файлу и передаваться через него. Вирусы подразделяются на два типа: резидентные и нерезидентные.

Нерезидентные вирусы предназначены для распространения путем прикрепления к исполняемому файлу. В нерезидентных вирусах есть два компонента, которые работают следующим образом:


• Модуль поиска, который ищет исполняемые файлы в системе.

• Модуль репликатора, который копирует и прикрепляет копии к найденным исполняемым файлам.


Резидентный вирус работает иначе: у него отсутствует модуль поиска, но он постоянно находится в системной памяти. Каждый раз, когда исполняемый файл запускается на компьютере, он становится целью для модуля репликатора, и копия вируса прикрепляется к исполняемому файлу.

Так и мы с братом подцепили вирус Win9x.CIH, как и многие другие пользователи ПК, которым посчастливилось купить тот самый злополучный диск с новой операционной системой Microsoft Windows 2000. Спасло нас, видимо, то, что CIH работал на старом семействе операционных систем Win9x[22]22
  Windows 9x – часто используемое общее название для операционных систем Windows версий 4.x: Windows 95, Windows 98/98SE и Windows Me от корпорации Microsoft. Поскольку архитектура этих систем весьма схожа, термин Windows 9x зачастую используется для обозначения их всех (например, при сравнении этих систем с системами линии Windows NT).


[Закрыть]
, а мы обнаружили и удалили его уже под системой семейства WinNT[23]23
  Windows NT (в просторечии просто NT) – линейка операционных систем (ОС) производства корпорации Microsoft и название первых версий ОС. Windows NT была разработана после прекращения сотрудничества Microsoft и IBM над OS/2, развивалась отдельно от других ОС семейства Windows (Windows 3.x и Windows 9x). В отличие от Windows 3.x и Windows 9x, Windows NT позиционировалась как надёжное решение для рабочих станций (Windows NT Workstation) и серверов (Windows NT Server). Windows NT дала начало семейству операционных систем, в которое входят: собственно Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8, Windows 10.


[Закрыть]
. У вируса попросту не было возможности активироваться.

Если уйти в историю, то первым компьютерным вирусом для персонального компьютера под управлением операционной системы MS-DOS и первым вирусом, вызвавшим глобальную эпидемию в 1986 году, был Brain (с англ. – мозг). Brain написали два брата из Пакистана, Базит и Амжад Фарук Альви, в целях отслеживания пиратских копий их медицинского программного обеспечения, и он не был нацелен на причинение вреда. Братьям тогда было 17 и 24 года.

Заражение компьютера происходило путем записи копии вируса в загрузочный сектор дискеты[24]24
  Дискета, гибкий магнитный диск (ГМД; англ. floppy disk, англ. diskette) – сменный носитель информации, используемый для многократной записи и хранения данных. Представляет собой гибкий пластиковый диск, покрытый ферромагнитным слоем и помещённый в защитный корпус из пластика. Считывание или запись данных с дискет производится посредством специального устройства – дисковода; в отечественной индустрии также использовался термин «накопитель (на) гибких магнитных дисках» (НГМД).
  Дискеты имели массовое распространение с 1970-х и до начала 2000-х годов, придя на смену магнитным лентам и перфокартам. В конце XX века дискеты начали уступать более ёмким оптическим дискам CD-R и CD-RW, а в XXI веке – и более удобным флеш-накопителям.


[Закрыть]
. Старая информация переносилась в другой сектор и помечалась как «поврежденная». Метка тома изменялась на ©Brain.

У братьев была компьютерная фирма Brain Computer Services, и вирус они написали, чтобы отслеживать пиратские копии их медицинского софта. Пиратская программа отжирала оперативку, замедляла работу диска и иногда мешала сохранить данные. По заверениям братьев, она не уничтожала данные.

Brain «не умел» работать с разделами жестких дисков, поэтому в него была встроена проверка, не позволявшая ему заражать жесткий диск. Это отличает его от многих вирусов того времени, которые не обращали внимания на разделы, что приводило к уничтожению данных. Благодаря относительной «миролюбивости» вирус часто оставался незамеченным, особенно когда пользователь не обращал внимания на замедление работы дискет.



Программа содержала следующее сообщение:

Welcome to the Dungeon 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS… Contact us for vaccination… $#@%$@!!

«Добро пожаловать в подземелье… Берегитесь этого вируса… Свяжитесь с нами для лечения…»

В заголовке были указаны реальные контакты. Когда кто-либо звонил им за помощью, они могли идентифицировать пиратскую копию. Также вирус подсчитывал количество сделанных копий.

Братья обнаружили, что пиратство было широко распространено, и копии их программ распространялись очень далеко. Амжад говорит, что первый звонок к ним поступил из США, Майами.

Это был первый из множества звонков из США. Проблема оказалась в том, что Brain распространялся и по другим дискетам, а не только по копиям их программы. В Университете Делавера в 1986 году даже случилась эпидемия этого вируса, а затем он появлялся и во многих других местах. Исков подано не было, но в газетах про это писали много. Создателей даже упоминали в журнале Time Magazine в 1988 году.



New York Times писала в мае 1988-гo: «Дерзкая компьютерная программа, которая в этом месяце появилась на компьютерах “Бюллетеня Провиденса”, уничтожила файлы одного корреспондента и распространилась через дискеты по всей сети газеты. Компьютерщики считают, что это первый случай заражения компьютерной системы американской газеты такой дерзкой программой, которую называют компьютерным вирусом».

Братьям Альви пришлось сменить телефоны и убрать контакты из поздних версий вируса. Продажи программы они прекратили в 1987 году. Их компания выросла в телекоммуникационного провайдера, и сейчас это крупнейший провайдер в Пакистане. Расположена она всё по тому же адресу.

Итак, компьютерный вирус – это такая вредоносная программа, которая может распространять сама себя путем внедрения своего кода в другие программы, загрузочные сектора дисков, системные области памяти. Главное отличие вируса от троянской программы – в его способности к самораспространению через заражение. Кроме того, часто его сопутствующей функцией является нарушение работы программно-аппаратных комплексов – удаление файлов, удаление операционной системы, приведение в негодность структур размещения данных, нарушение работоспособности сетевых структур, кража личных данных, вымогательство, блокирование работы пользователей и т. п. Т. е. вирус может распространяться через заражение файлов, но нести в себе функционал троянской программы. А вот троянская программа представляет из себя отдельный исполняемый файл, который сам по себе распространяться не может.

Хотя вирусы и остаются ощутимой угрозой, время их массового создания и распространения уже прошло. Интернет стал доступен практически каждому, а программы теперь просто скачиваются, а не продаются на дисках. Злоумышленникам стало дешевле и проще заражать пользователей в сети, используя эксплойты, вместо того чтобы писать саморазмножающиеся вирусы.

Один из последних случаев массового заражения компьютерным вирусом произошел в далеком 2004 году. Началось всё с того, что вирус ILoveYou был разослан на почтовые ящики с Филиппин в ночь с 4 на 5 мая 2000 года. В теме письма содержалась строка ILoveYou, отсюда и его название, а к письму был приложен скрипт LOVE-LETTER-FOR-YOU.TXT.vbs[25]25
  VBScript (VBS, развернуто Microsoft Visual Basic Script Edition, иногда Visual Basic Script) – язык сценариев, созданный компанией Microsoft на основе языка Visual Basic, предназначенный для применения в приложениях, использующих технологию Active Scripting.


[Закрыть]
. В большинстве случаев пользователь открывал вложение. При открытии вирус рассылал копию самого себя всем контактам в адресной книге Microsoft Outlook. Он также перезаписывал файлы определенных типов и распространялся через IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. В общей сложности вирус поразил более 5 миллионов компьютеров по всему миру. Предполагаемый ущерб, который червь нанес мировой экономике, оценивается в размере до 15 миллиардов долларов, за что вирус вошел в Книгу рекордов Гиннесса как самый разрушительный в мире.

Со временем вирусописателям пришлось выдумывать различные способы противостоять антивирусам, поэтому появились полиморфные и метаморфные вирусы.


Полиморфные вирусы

Полиморфный вирус – сложный компьютерный вирус, он зашифрован с помощью переменного ключа шифрования. У такого вируса есть небольшая часть – декриптор (дешифратор), он получает управление при запуске вируса и расшифровывает основное тело. Поэтому каждая копия отличается от других. Другими словами, это зашифрованный вирус, разработанный для предотвращения обнаружения антивирусным программным обеспечением или сканером.

Предположим, что один пользователь зашел на сайт и скачал исполняемый файл. Затем другой пользователь переходит по той же ссылке и загружает тот же исполняемый файл. Оба пользователя получают два разных файла. Несмотря на то что код самого вируса одинаков, он каждый раз шифруется разными ключами. Поэтому полиморфный вирус трудно обнаружить с помощью сканеров и антивирусного программного обеспечения. В таких случаях антивирусу нужно расшифровать код вируса и уже потом проверить его по базе сигнатур. Для этого в антивирусах существует эвристический анализатор.


Метаморфные вирусы

Метаморфный вирус – вирус, который изменяет свой собственный код. Он переводит свой собственный код и создает временное представление. Затем он редактирует это временное представление и записывает себя обратно в обычный код. Другими словами, он переводит и переписывает свой собственный код, чтобы каждый раз копии вируса выглядели по-разному.

Метаморфный вирус не использует метод шифрования ключей, как в полиморфном вирусе. Когда вирус создает новую собственную копию, он преобразует существующие инструкции в функциональные эквиваленты. Поэтому ни одна секция вируса не остается постоянной, и вирус не вернется к своей первоначальной форме во время выполнения. Следовательно, антивирусное программное обеспечение не сможет его обнаружить по базе сигнатур.

Черви

Сетевой червь – разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные (интернет) компьютерные сети.



Червь в некоторой степени считается подклассом вирусов. Черви распространяются от компьютера к компьютеру, но, в отличие от вирусов, они имеют возможность путешествовать без любого человеческого действия. Самoй большoй опасностью червя является его способность копировать себя на вашей системе – тем самым oн может посылать сотни и тысячи копий самого себя.

Ранние эксперименты по использованию компьютерных червей в распределенных вычислениях провели в исследовательском центре Xerox в Пало-Альто Джон Шоч (John Shoch) и Йон Хупп (Jon Hupp) в 1978 году. Термин «червь» возник под влиянием научно-фантастических романов «Когда ХАРЛИ исполнился год» Дэвида Герролда (1972), в котором были описаны червеподобные программы, и «На ударной волне» (англ.) Джона Браннера (1975), где вводится сам термин.


Червь Морриса

Одним из наиболее известных компьютерных червей является червь Морриса, написанный в 1988 году Робертом Моррисом-младшим, который был в то время студентом Корнеллского Университета.

Роберт родился в 1965 году, его отец был специалистом в области криптографии, работал в Bell Labs и помогал в разработке Multics и Unix. То есть будущему программисту было у кого поучиться.

Роберт хорошо учился в школе, поэтому постигать азы науки парня отправили в Гарвард, после чего он продолжил получать образование в Корнеллском университете. Будучи студентом первого курса, Моррис-младший и натворил дел. «Всё в познавательных целях», – уверял позже Роберт.

Дополнительной драмы добавляло то, что его отец в то время уже являлся сотрудником Агентства национальной безопасности. Он занимал руководящий пост в подразделении, ответственном за IT-безопасность систем федерального правительства.

Червь Морриса нередко называют первым сетевым червем, однако он может считаться таковым лишь потому, что это первая подобная программа, расползшаяся чуть ли не по всему интернету. Интернет, напомним, тогда был совсем небольшим и имел мало общего с тем, что позже придумал Тим Бернерс-Ли[26]26
  Сэр Тимоти Джон Бéрнерс-Ли (англ. Sir Timothy John «Tim» Berners-Lee; род. 8 июня 1955 года, Лондон) – создатель URI, URL, HTTP, HTML и Всемирной паутины (совместно с Робертом Кайо) и действующий глава Консорциума Всемирной паутины. Автор концепции семантической паутины, множества других разработок в области информационных технологий.


[Закрыть]
.




Роберт задумывал свое детище якобы как экспериментальный проект. Он должен был измерить тот самый интернет – об этом программист заявил позже. Оригинальный мотив в 1988 году мог быть иным. На это указывает и то, что парень тщательно пытался замести следы, отправляя червя в свободное плавание из кампуса MIT.

Код писался для запуска на компьютерах VAX компании Digital Equipment Corporation и SUN под управлением BSD UNIX[27]27
  BSD (англ. Berkeley Software Distribution) – система распространения программного обеспечения в исходных кодах, созданная для обмена опытом между учебными заведениями. Особенностью пакетов ПО BSD была специальная лицензия BSD, которую кратко можно охарактеризовать так: весь исходный код – собственность BSD, все правки – собственность их авторов.
  В данный момент термин BSD чаще всего употребляется как синоним BSD-UNIX – общего названия вариантов UNIX, восходящих к дистрибутивам университета Беркли.
  Упрощенное генеалогическое дерево UNIX и его клонов
  К семейству BSD относятся: NetBSD, FreeBSD, OpenBSD, ClosedBSD, MirBSD, DragonFly BSD, PC-BSD, GhostBSD, DesktopBSD, SunOS, TrueBSD, Frenzy, Ultrix и частично XNU (ядро macOS, IOS, tvOS, watchOS, CarPlay, Darwin).


[Закрыть]
. Роберт использовал несколько уязвимостей, в том числе в программах sendmail (отвечает за работу с электронной почтой) и fingerd (получение некоторых данных о пользователе). Также эксплуатировались иные дыры, позволявшие узнать пароли локального пользователя.

В sendmail, например, после ряда исправлений имелся баг: в определенных условиях можно было запустить дебаг (внезапно: отправив команду debug). Тогда sendmail позволяла вместо адресов указывать дополнительные инструкции. На деле, конечно, всё не так просто, но и особых изысков Роберту придумывать не пришлось.

Парень посчитал, что админы очень скоро заметят вторжение и предпримут шаги для защиты. Например, заставят червя думать, что его копия уже установлена. 23-летний программист учел и это. Его код действительно проверял наличие копии себя на чужом компьютере, однако в 14 % случаев устанавливался, невзирая на полученный отклик. Есть фейк? Всё равно установлюсь. Есть другая копия? Да кто ж поймет, всё равно установлюсь.

Оказавшись на удаленном компьютере (первыми под удар попали знакомые ему скрытые университетские и исследовательские сети), червь сканировал окружение на наличие других компьютеров и копировался на них. Роберт не ожидал прыти, которую продемонстрировал его код. Ведь условие 14 %, как несложно догадаться, хоть и выполнялось, но было бессмысленным: программа наматывала «круги» по сети.

Серверы тем временем раз за разом выполняли бесконечные команды, подаваемые червем, полностью парализующим работу систем: программа Морриса работала исключительно в оперативной памяти. Данный факт также не позволял изучить файлы червя, которые удалялись в случае отключения.

Заново включенный в сеть компьютер опять становился жертвой, и самым эффективным способом справиться с напастью в тот момент было полное отключение компьютера от сети. Только после этого администраторы могли убрать нагрузку и «вылечить» машину. Если знали, что и где искать.

Роберт Моррис испугался того, что натворил. Как следует из отчета по итогам расследования инцидента, он предпринял попытки остановить эпидемию («рубильник», само собой, предусмотрен не был), но не слишком активные. Студент не стал во всеуслышание рассказывать о черве и информировать ответственных, однако позвонил приятелю с просьбой опубликовать анонимные извинения и руководство по «лечению».

Инженеры из Беркли активно работали над поиском и препарированием компонентов программы. Через 12 часов им удалось продумать все необходимые алгоритмы и подготовить заплатки, однако их распространению мешал… да, червь Морриса, из-за которого целые сети либо «лежали», либо были отключены от внешнего мира. Потребовалось несколько дней, чтобы успокоить бурю, поднятую начинающим программистом.

Для понимания масштабов «шухера», который натворил червь, перечислим агентства, организации и ведомства, привлеченные к решению проблемы. Это Центр национальной компьютерной безопасности, Национальный институт науки и технологий, Агентство военной связи, DARPA, Министерство энергетики США, Лаборатория баллистических исследований, Ливерморская национальная лаборатория имени Лоуренса, ЦРУ, Калифорнийский университет в Беркли, Массачусетский технологический институт, институт SRI International и ФБР.

Считается, что червь Морриса заразил около 6 тыс. компьютеров – примерно 10 % от всех, что были подключены в то время к интернету. Ущерб в зависимости от важности владельцев компьютеров оценивали в диапазоне от $200 до $53 тыс. за систему (традиционно речь идет о «предполагаемом», то есть гипотетическом ущербе). Власти называли общую сумму ущерба в диапазоне от $100 тыс. до $10 млн, которая с годами превратилась в $95–100 млн и 60 тыс. зараженных компьютеров. Более вероятными представляются всё же первоначально озвученные цифры.

На определение авторства ушло время. Есть версия, согласно которой отец 23-летнего парня рекомендовал ему самому рассказать о себе властям. Походит на правду, учитывая пост Морриса-старшего и его непосредственную связь с правительством и нацбезопасностью.


Механизмы распространения

Все механизмы («векторы атаки») распространения червей делятся на две большие группы:


• Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Червь Морриса использовал известные на тот момент уязвимости в программном обеспечении – а именно в почтовом сервере sendmail, сервисе finger – и подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.

• Средства так называемой социальной инженерии провоцируют запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы – например, червь VBS.LoveLetter (рассмотренный выше вирус ILOVEYOU) использовал тот факт, что Outlook Express скрывает расширения файлов. Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.


Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.


Структура

Черви могут состоять из различных частей.

Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жесткие диски. От них можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика заключается в том, что они не загружаются через загрузчик, как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жестком диске и принимают меры для последующего запуска этого кода (например, путем прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы по локальной сети, а также может содержать более серьезную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (к примеру, DoS-атаки).

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или интернет-браузера добровольно скачивает и запускает червя целиком.

Дам определение еще раз: сетевой червь – это вредоносная программа, самостоятельно распространяющaяся через локальные и глобальные компьютерные сети. Ключевое отличие от вируса – именно в распространении через сети, а не через заражение других исполняемых файлов.

Сетевой червь

Эксплойты

Программы, будь то игры, вебсайты или приложения под смартфоны, пишут программисты. А программист, насколько бы хорошим он ни был, прежде всего человек. Как сказал Цицерон, каждому человеку свойственно ошибаться… Вот и программисты при разработке делают ошибки в коде. Иногда из-за таких ошибок программа некорректно себя ведет или просто падает, а иногда ошибка (далее будем называть ее уязвимостью) позволяет выполнить некий привилегированный набор команд.

Например, червь Морриса эксплуатировал переполнение буфера утилиты finger, изначально предназначенной для удаленного определения времени подключения пользователя к рабочей станции, а написан он был аж в 1988-м. 34 года спустя переполнение буфера – до сих пор одна из самых распространенных уязвимостей. Хотя описание работы этой атаки выходит за рамки данной книги и скорее относится уже к специализированной технической литературе, попробую объяснить кратко и понятно для человека, далекого от программирования.

Программы работают с разными порциями данных, под которые в оперативной памяти выделяются участки, называемые буферами. Эти данные могут приходить из сети, от ввода пользователя с клавиатуры, с диска и т. д. Уязвимость появляется тогда, когда разработчик забывает проверить размер полученных данных, т. е. если данных получено больше, чем размер буфера. При грамотном использовании атаки переполнение позволяет вставить в программу вредоносный код, который, например, может скачать с удаленного компьютера вирус и запустить на вашей машине.

Как всё это использовать злоумышленнику в реальности? В первую очередь нас интересуют уязвимости в браузерах. Да, браузеры пишут тоже люди, и ошибок в них хватает. А для использования этих ошибок и появляются эксплойты.

Эксплойты (exploits) – подвид вредоносных программ. Термин связан с английским глаголом to exploit, означающим «эксплуатировать, применять в своих интересах».

Для пользователя основную опасность, как я уже писал выше, представляют эксплойты под различные браузеры. Такой набор эксплойтов называют связкой.

Как работает заражение компьютеров при просмотре сайтов в интернете? Злоумышленник взламывает чужие сайты (в основном также из-за наличия уязвимостей) и устанавливает на них свой вредоносный код – связку эксплойтов. При каждом посещении сайта вредоносный код активируется, подбирает к конкретному браузеру и операционной системе нужный эксплойт – код, который использует конкретную уязвимость конкретного браузера под конкретную операционную систему. В случае успешного срабатывания эксплойта в ваш браузер или набор команд выполняется внедренный злоумышленникам код. Обычно это команда скачать и запустить трояна-загрузчика. Троян-загрузчик позже может загружать к вам на систему произвольные исполняемые файлы. На черном рынке такая успешная загрузка и запуск файла называется установкoй (от английского install).

На практике всё чуточку сложнее. Конечно же, на каждый взломанный сайт не копируют связку эксплойтов. Обычно сама связка располагается на отдельном хостинге[28]28
  Хостинг (от англ. hosting) – услуга по размещению сайта или иного контента на сервере, обычно имеющем непрерывный доступ к Сети.


[Закрыть]
. А на взломанных сайтах просто ставят фреймы со ссылками на связку. Такой вариант куда проще и элегантнее. Отсюда вытекает и другое следствие: злоумышленники могут просто покупать фреймовый трафик[29]29
  Фрейм (от англ. Frame) – это самостоятельный документ, который отображается в отдельном окне браузера и представляет собой полностью законченную HTML-страницу. Простыми словами, фрейм – разделитель браузерных окон на отдельные области.


[Закрыть]
. Т. е. внутри основного HTML[30]30
  HTML (от англ. HyperText Markup Language – «язык гипертекстовой разметки») – стандартизированный язык гипертекстовой разметки документов для просмотра веб-страниц в браузере. Веб-браузеры получают HTML документ от сервера по протоколам HTTP/HTTPS или открывают с локального диска, далее интерпретируют код в интерфейс, который будет отображаться на экране монитора.


[Закрыть]
сайта вставляется очень-очень маленькое окно фрейма размером 1 на 1 пиксель, в котором загружается вредоносный URL[31]31
  URL – это уникальный адрес веб ресурса (сайта), который зарегистрирован в единой схеме адресации известной как «Uniform Resource Locator» или сокращенно – URL. Простыми словами URL – это адрес сайта, включая путь к конкретной странице или контенту на ней. Все браузеры имеют строку для ввода адреса, где отображается просматриваемая в данный момент страница.


[Закрыть]
на связку эксплойтов. Очень часто такой трафик продают сайты «для взрослых» – учтите это, если захотите посетить подобные ресурсы.



Тут мы плавно перешли к разделению труда на черном рынке киберкриминала. Есть некий образ хакера, навязанный нам массмедиа и Голливудом. Некий криминальный гений, способный сломать любую защиту и украсть что угодно у кого угодно. Обычно же люди, кoтopые пишут связки эксплойтов, банковскиe трояны, продают загрузки или трафик, – это разные персонажи.

Пишут эксплойты и трояны, безусловно, хакеры. Для создания такого вредоносного кода нужно хорошо разбираться в программировании и конкретно врубаться в то, как функционирует компьютер на низком уровне. Слово Hacker как раз и произошло от английского глагола to hack – врубаться.

Используют связки эксплойтов люди, обычно далекие от программирования, – загрузчики (так их называют на теневых форумах). И пытаются они выжать из вашего ПК максимум. Поэтому я и написал, что эксплойт устанавливает у вас на машине трояна-загрузчика. После чего загрузки (установки другого вредоносного ПО) продаются во много рук. Так что не удивляйтесь, что ваш компьютер начал слать спам, ддосить, да еще и вымогать у вас деньги одновременно. Скорее всего, это три разных трояна.

Эксплойты бывают не только для браузеров, а еще для:


• операционных систем (например, для обхода UAC в Windows);

• прикладного программного обеспечения (например, вирус ILoveYou эксплуатировал ошибки безопасности в почтовом клиенте Microsoft Outlook);

• веб-сервисов (например, уязвимости в популярном движке создания блогов WordPress);

• аппаратных компонентов.

Внимание! Это не конец книги.

Если начало книги вам понравилось, то полную версию можно приобрести у нашего партнёра - распространителя легального контента. Поддержите автора!

Страницы книги >> Предыдущая | 1 2
  • 0 Оценок: 0

Правообладателям!

Данное произведение размещено по согласованию с ООО "ЛитРес" (20% исходного текста). Если размещение книги нарушает чьи-либо права, то сообщите об этом.

Читателям!

Оплатили, но не знаете что делать дальше?


Популярные книги за неделю


Рекомендации