Книга: Pro Вирусы
Назад: Глава 4. Ботнеты
Дальше: Глава 6. Технологии заражения

Глава 5. Технологии проникновения

Существует несколько возможных путей распространения вредоносных программ, причем все они известны довольно давно и хорошо изучены, однако это ничуть не уменьшает масштабов вирусных эпидемий и числа заражений пользовательских устройств троянцами и вирусами. В целом можно сказать, что самая распространенная и основная причина вирусных заражений — это неграмотность самих пользователей, которые не только не желают соблюдать очевидные меры безопасности, но даже не подозревают о том, в каких ситуациях их устройство может быть инфицировано. Давайте кратко рассмотрим основные пути распространения вредоносных программ и дадим им соответствующую характеристику.

Сменные носители информации

Файловые вирусы и черви умеют распространяться самостоятельно, заражая переносные накопители информации — флэшки, sd-карты, даже мобильные телефоны и планшеты, подключаемые к зараженному компьютеру для обмена файлами, например, чтобы скачать на ПК фотографии, или, наоборот, закачать на переносное устройство музыку. Впоследствии достаточно подключить такое инфицированное устройство к компьютеру, и его заражение с большой долей вероятности произойдет автоматически. Выбор устройства для заражения троянец обычно осуществляет путем перечисления имен дисков, содержащих значение «USB», а также смонтированных в системе разделов и логических дисков в поисках съемных накопителей.

Некоторые вредоносные программы просто копируют себя на съемный носитель, а затем создают в его корневой папке файл autorun.inf, автоматически запускающий троянца или червя при обращении к такому накопителю. В некоторых версиях Windows (например, ранних версиях Windows XP) запуск мог осуществиться и вовсе в момент подключения такого устройства к компьютеру.

Другие вредоносные программы могут, например, переместить в Корзину (или скрытую папку с атрибутами «system» и «hidden») все находящиеся на съемном носителе файлы и директории, а затем создать вместо них ссылающиеся на исполняемый файл троянца пусковые ярлыки с теми же именами, по щелчку мышью на которых сначала запускается троянец, а потом открывается уже исходный файловый объект. Щелкнув мышью на таком ярлыке в попытке, например, открыть папку или просмотреть фотографию, не слишком искушенный пользователь запустит троянца на исполнение.

Некоторые черви, активно распространявшиеся ранее, аналогичным образом заражали системную папку Windows, использовавшуюся в качестве буферной при записи компакт-дисков (%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\). Таким образом, все CD или DVD-диски, записанные на зараженном компьютере, также автоматически оказывались инфицированными и содержали файл autorun.inf, запускавший троянца при помещении диска в оптический привод. В наши дни, в связи с распространением флэш-накопителей и карт памяти, технология CD/DVD постепенно отмирает, и этот вектор атак сейчас уже можно назвать архаичным.

Вредоносные почтовые рассылки

Пожалуй, это самый популярный на сегодняшний день метод распространения вредоносных программ. Злоумышленники рассылают червей и троянцев под видом каких-либо документов: счетов, извещений о почтовых отправлениях, сообщений с просьбой подтвердить заказ в интернет-магазине, даже уведомлений о штрафах и судебных исках. Нередко вирусы и троянские программы приходят по электронной почте под видом предложения о знакомстве с приложенными «фотографиями», вместо которых, как правило, оказывается вредоносное вложение. При этом в тексте таких сообщений нередко присутствует ссылка якобы на профиль отправителя на сайте знакомств или в социальной сети. Переход по такой ссылке, как правило, также чреват заражением компьютера.

Пользователи мобильных устройств зачастую получают подобные рассылки с использованием СМС, причем злоумышленники задействуют в своих целях сервисы сокращения ссылок, вследствие чего потенциальная жертва зачастую не может заранее определить, что именно ожидает ее при переходе по предложенной ссылке. Однако можно смело сказать, что там ее не ожидает ничего хорошего. Входящие СМС маскируются под сообщения систем электронного банкинга, различных биллинговых систем, а также под уведомления о доставке MMS-сообщений.

Вот один из примеров рассылаемого злоумышленниками письма, во вложении к которому распространялся опасный троянец-энкодер, зашифровывавший все хранящиеся на компьютере жертвы файлы и требовавший выкуп за их расшифровку (орфография и синтаксис оригинала):

Тема: Процесс №315

Уведомление о начале судебного разбирательства

Здравствуйте.

Поскольку ваша финансовая задолженность не была урегулирована в добровольном порядке, новый кредитор вынужден прибегнуть к принудительным мерам взыскания, предусмотренным законодательством Российской Федерации: направлению выездных групп по адресу регистрации, судебному разбирательству, инициированию исполнительного производства до полного погашения задолженности. Напоминаем Вам, что в случае Вашего неучастия в процессе, решение суда может быть вынесено заочно, что может повлечь за собой принудительное исполнение решения суда. Всю информацию о ходе предварительного судебного производства и сроках рассмотрения, включая копию искового заявления, Вы можете получить ознакомившись с приложенной к настоящему письму документацией или перейдя по ссылке находящейся в конце этого письма.

Это письмо создано автоматической системой и не требует ответа.

Как правило, вредоносные сообщения содержат вложение либо в виде zip-архива (в целях затруднения его детектирования некоторыми антивирусными программами, которые способны анализировать почтовый трафик), либо в виде исполняемого .exe, .bat или .scr-файла. В ряде случаев сообщение может содержать крошечный VBS-скрипт, который скачивает исполняемый файл троянца из Интернета и запускает его на исполнение. Также злоумышленники нередко рассылают настоящие документы в формате Microsoft Office (.doc/.docx, .xls/.xlsx) или PDF-файлы, запускающие вредоносный компонент с использованием уязвимостей в прикладном ПО.

Уязвимости

Общеизвестно, что и операционные системы, и прикладные программы создаются программистами, а программистам, как и всем людям, свойственно допускать ошибки. Некоторые скрытые ошибки в коде приложений или самой системы, называемые уязвимостями, злоумышленники и используют в своих целях, при этом заражение зачастую происходит автоматически, без участия жертвы, при выполнении каких-либо рутинных действий, например, в момент открытия веб-страницы в окне браузера или текстового документа — в окне Microsoft Word. Яркий пример — уязвимость в ранних версиях Android, позволявшая сохранять внутри установочного .apk-файла с дистрибутивом программы два элемента с одинаковым именем, при этом сама ОС Android в процессе инсталляции такой программы проверяла первый элемент, а устанавливала и запускала — второй. С помощью эксплуатации этой уязвимости у вирусописателей появилась возможность заражать троянцами множество устройств, работающих под управлением ОС Android.

Природа уязвимостей может быть различной: некоторые из них связаны с недостатками архитектуры операционной системы или приложения, другие — с ошибками разработчиков ПО. Например, какая-либо программа может выполнять проверку недостаточно эффективно или вовсе не проверять обрабатываемые ею и загружаемые в память данные, чем могут воспользоваться злоумышленники, либо передавать в буфер информацию без фактической проверки его границ (атака на переполнение буфера). Для закрытия уязвимостей разработчики операционных систем и прикладных программ периодически выпускают обновления своих продуктов, также порой называемые в обиходе «заплатками», или «патчами» (от англ. patch — «заплатка», «пластырь»). Среди уязвимостей принято особо выделять критические уязвимости — с помощью которых имеется возможность полностью нарушить работоспособность операционной системы или программы, а также уязвимости нулевого дня — уязвимости, уже известные злоумышленникам, для которых производитель ПО или ОС еще не успел выпустить соответствующего обновления, закрывающего данную брешь в безопасности.

Злоумышленники специально выискивают уязвимости в операционных системах и прикладных программах с целью распространения вирусов и троянцев. Самый простой метод такого поиска — анализ выпускаемых производителями софта обновлений. Например, киберпреступник может проанализировать содержимое опубликованного корпорацией Microsoft критического обновления безопасности для ОС Windows, заменяющего несколько системных динамических библиотек. Сравнив «старую» версию этих файлов с обновленной, злодей может без труда выяснить, в чем именно заключалась ликвидируемая обновлением уязвимость. До тех пор, пока все пользователи Windows не установят это обновление, они являются беззащитными для целевой атаки в данном направлении. А это сотни миллионов компьютеров по всему миру.

Программа, файл, электронный документ, фрагмент исполняемого кода или последовательность команд, использующая ту или иную уязвимость для реализации различных вредоносных функций, называется эксплойтом, эксплоитом, или сплоитом (от англ. exploit, «эксплуатировать»). Например, возможность устаревших версий текстового редактора Microsoft Word автоматически запускать встроенные в документы .doc макросы — это уязвимость. А сам документ, в момент открытия сохраняющий при помощи макроса на диск компьютера и запускающий опасного троянца — это эксплойт.

В качестве еще одного примера можно назвать уже давно устаревший метод атаки, при которой злоумышленники рассылали пользователям Outlook письма в формате HTML, «прячущие» в себе скрытый фрейм. Поскольку эта почтовая программа ранних версий не умела правильно обрабатывать такие письма, из скрытого фрейма вызывался вредоносный скрипт, который загружал из Интернета троянца на пользовательскую машину и запускал его на выполнение. Это и был эксплойт — один из самых распространенных, с которыми многие наши соотечественники сталкивались на практике в начале «нулевых». Можно сказать, что притчей во языцех стали и многочисленные эксплойты, реализованные в виде документов в формате Adobe PDF или встраиваемых в веб-страницы интерактивных элементов в формате Adobe Flash — подобные творения злоумышленников появляются с завидной регулярностью, поскольку некоторые (особенно устаревшие) продукты корпорации Adobe с точки зрения информационной безопасности являются лакомой приманкой для злоумышленников.

Эксплойты являются популярным предметом купли-продажи на различных подпольных форумах, где общаются представители компьютерного андеграунда. Например, с использованием крайне распространенного у вирусописателей комплекта эксплойтов «Black Hole» («черная дыра») было инфицировано несколько миллионов компьютеров по всему миру. Один из частных случаев применения на практике данной схемы распространения вредоносного ПО выглядит следующим образом. При просмотре некоторых веб-сайтов, не несущих в себе какого-либо подозрительного контента, внезапно происходит открытие нового окна браузера, в котором загружается веб-страница, имитирующая своим оформлением интерфейс популярной службы «Ответы@Mail.ru». Разумеется, данная веб-страница физически располагается на другом сервере, адрес которого может отдаленно напоминать URL службы mail.ru. Уже одного факта открытия этой странички в браузере достаточно, чтобы антивирусное ПО начало выдавать предупреждения о попытках загрузки и установки на компьютер вредоносных программ и запуска подозрительных скриптов. Теоретически вредоносная страница может быть любой и нести в себе совершенно иное визуальное оформление.

Анализ HTML-кода такой странички показывает, что она содержит несколько скрытых фреймов, в которых запускается скрипт, выполняющий переадресацию пользователя на принадлежащий злоумышленникам сайт. Этот сайт в свою очередь эксплуатирует набор эксплойтов «Black Hole», реализующих загрузку на компьютер жертвы вредоносного ПО с использованием известных уязвимостей браузеров и операционной системы. Какие именно троянские программы попадут при этом на  компьютер жертвы, зависит от используемой ею версии браузера, версии операционной системы и наличия на ней установленных обновлений безопасности, наличия или отсутствия в атакуемой системе брандмауэра и современного антивирусного ПО.

Особо следует упомянуть об опасности, которой подвергаются пользователи операционной системы Google Android. По данным на июль 2015 года, для различных версий данной мобильной платформы известно в общей сложности 11 уязвимостей (9 на уровне компонентов самой операционной системы, 2 — для «рутованных» устройств, в которых пользователь работает с привилегиями суперадминистратора (root)), притом некоторые из них время от времени эксплуатируются разработчиками вредоносных программ. Однако поскольку сама ОС Android является, по большому счету, встраиваемой и распространяется в виде предустановленной заводской прошивки для смартфонов и планшетов, далеко не все производители этих устройств озабочены регулярным обновлением операционной системы. Скорее дела обстоят прямо наоборот: обновления прошивки выпускаются, в основном, для флагманских продуктов наиболее известных и крупных корпораций, а большинство бюджетных моделей мобильных гаджетов, особенно  китайского производства, не обновляется вообще. Соответственно, пользователь не в состоянии сам закрыть подобные уязвимости, поскольку они содержатся в системных компонентах, к которым он в обычных условиях не имеет доступа. Самое забавное, что и антивирусные программы для Android также не в состоянии закрыть такие уязвимости, поскольку они не имеют возможности модифицировать компоненты ОС. Антивирусы могут лишь предупредить пользователя о наличии бреши в защите и обезвредить вредоносные программы при попытке запуститься на защищаемом устройстве с использованием той или иной уязвимости.

Кроме того, специалистам широко известны случаи, когда вредоносные программы были внесены в Android-прошивку телефона самим его производителем, и смартфоны поступали в продажу уже зараженными. В особенности это касается дешевых устройств (зачастую — имитирующих дорогостоящие модели известных брендов), выпущенных никому не известными небольшими китайскими заводами. Именно таким образом распространялся, например, Android.Becu.1.origin — компонент этого вредоносного приложения, способного скрытно загружать и устанавливать по команде с управляющего сервера различные вредоносные программы, «прятался» в одном из системных каталогов, имел цифровую подпись самой операционной системы и потому обладал на инфицированном устройстве поистине неограниченными полномочиями.

Еще один встроенный в прошивку некоторых дешевых китайских телефонов троянец, Android.Oldboot.1.origin, действовал как буткит, загружаясь еще до момента запуска операционной системы. С его помощью злоумышленники инфицировали более чем 350 000 Android-устройств. Нередки случаи заражения при установке на телефоны и планшеты так называемых кастомных (созданных сторонними разработчиками) Android-прошивок: многие из них таят в себе очень неприятные сюрпризы.

Таким образом, при выявлении очередной уязвимости в ОС Android устройство в большинстве случаев остается подверженным заражению вредоносными программами, и спасти ситуацию может, по большому счету, только замена такого устройства на более современную модель с более новой версией ОС, в которой уязвимость уже устранена разработчиками.

Загрузчики

Об опасности троянцев-загрузчиков я уже неоднократно упоминал. Множество вредоносных программ может проникнуть на устройство, уже инфицированное троянцем-загрузчиком, основное назначение которого — закачка из Интернета и запуск других вредоносных программ. Вот почему, однажды допустив заражение, пользователь рискует превратить свой компьютер в настоящий рассадник вирусов и троянцев.

Вредоносные программы-загрузчики нередко объединяются в ботнеты, услуги которых злоумышленники продают на различных подпольных форумах. Создатели банковских троянцев, троянцев-шпионов, рекламных троянцев и троянцев-вымогателей платят им за определенное число успешных загрузок своих творений на компьютеры потенциальных жертв. Именно поэтому данный вектор распространения вредоносных программ является весьма популярным и актуальным.

Социальная инженерия

Под термином социальная инженерия принято понимать комплекс используемых злоумышленниками психологических приемов, позволяющих обмануть пользователя или ввести его в заблуждение, чтобы заставить выполнить те или иные нужные киберпреступнику действия, например, передать пароли от аккаунта в социальных сетях, сообщить реквизиты банковской карты или запустить на компьютере вредоносную программу. Так, от одного из друзей в социальной сети (аккаунт которого был ранее взломан) пользователю может прийти личное сообщение примерно следующего характера: «Ты с ума сошел, выкладывать такое видео? Я в шоке!» — далее в послании присутствует ссылка якобы на видеоролик, выставляющий получателя в неприглядном свете. Порой троянцы, рассылающие подобные послания, могут сгенерировать целую переписку, создавая поддельные комментарии пользователей, якобы успевших ознакомиться с видео. Однако для просмотра ролика потенциальной жертве предлагается скачать и запустить специальный кодек или приложение-проигрыватель, в котором скрывается… догадались что?

Само понятие социальной инженерии, по утверждениям ряда источников, ввел в обиход известный американский хакер Кевин Митник. Согласно рассказам его коллег и современников, сам Митник не обладал глубокими техническими познаниями в сфере информационных технологий, однако являлся при этом неплохим психологом. Он не брезговал покопаться в мусорных контейнерах на заднем дворе крупных офисных центров, куда сотрудники могли выбросить содержащие конфиденциальную переписку или важные пароли бумаги, распечатки внутренних документов и другие ценные источники информации. Он мог несколькими телефонными звонками выведать у работников различных фирм те или иные интересующие его сведения. Например, представившись новым руководителем одного из подразделений компании, Митник мог поинтересоваться по телефону у одного из сотрудников техподдержки, где найти системного администратора, чтобы подключить на его рабочем месте принтер, и заодно узнать, как его зовут. Затем, представившись тем самым системным администратором, он выведывал у ничего не подозревающей секретарши пароль от ее электронного почтового ящика.

Вот лишь несколько простых примеров применяющихся на практике приемов социальной инженерии, используемых современными злоумышленниками:

Существуют и иные различные способы мошенничества, когда киберпреступники, например, рассылают пользователям популярных онлайновых служб занятости выгодные приглашения на работу, однако требуют оплатить какие-либо курсы обучения или внести определенную сумму якобы за оформление необходимых документов. Разновидностью социальной инженерии являются и классические «нигерийские письма», получившие свое название благодаря тому, что этим видом мошенничества промышляли в основном жители солнечной Нигерии. Они отправляли потенциальным жертвам электронные послания на ломаном английском, представляясь адвокатами якобы недавно умершего богатого родственника получателя. Для оформления наследства требовалось всего ничего: оплатить «адвокату» небольшую сумму, чтобы правильно завизировать все бумаги или заплатить взятку коррумпированным нигерийским чиновникам.

Отдельной категорией сетевого мошенничества, использующего методики социальной инженерии, является так называемый dating scam — под этим термином понимается технология обмана пользователей многочисленных сайтов знакомств, к которым злоумышленники втираются в доверие с целью обогащения.

В последние годы традиционные способы мошенничества «на доверии», когда сетевые жулики под видом одинокой барышни знакомились на форумах с иностранцами, расписывали ужасы жизни в каком-нибудь провинциальном городке и слезно просили «выслать немного денег в голодную Россию», уже не работают, да и зарубежные граждане научились относиться к «русским красавицам» с определенной долей осторожности. Теперь индустрия обмана использует более продвинутые технологии, а сам процесс поставлен на конвейерный поток.

На подпольных хакерских форумах значительной популярностью пользуются комплекты не студийных фотографий, на которых изображена не слишком примелькавшаяся в Интернете симпатичная девушка. Стоимость набора из полутора сотен фото и нескольких видеороликов может составлять от $400 до $1000, в зависимости от качества «натуры» и выдвигаемых заказчиком требований. Нередко жуликам требуются услуги «девушки с поддержкой» — в этом случае модель должна время от времени передавать мошенникам фотографии, отснятые в заранее оговоренном антураже или видеоролики, в которых барышня произносит заранее оговоренные фразы.

Не менее высоким спросом пользуются услуги профессиональных переводчиков и копирайтеров, способных составлять от имени девушки грамотные и нешаблонные письма. Обычно мошенники до мелочей продумывают биографию для своего персонажа, включая имя девушки, место ее рождения и проживания, ее историю, увлечения, вкусы и предпочтения. Как правило, копирайтерам заказывают 20–30 шаблонов писем постепенно увеличивающегося объема, со сквозным сюжетом и строгими требованиями к стилистике.

Для девушки мошенники создают веб-сайт или страницу в социальной сети, где размещают несколько заранее подготовленных фотографий. Согласно сценарию, девушка обычно проживает в небольшом провинциальном российском городе и имеет творческую профессию — художника, фотографа или дизайнера. В письмах мошенники рассказывают о каких-то забавных случаях или ситуациях, связанных с ее работой и жизнью в небольшом российском городке. Ради придания переписке романтического ореола (и с целью избежать обвинений в легкомысленности) жулики обычно упоминают о том, что девушка ранее переписывалась с иностранным мужчиной, но он обманул ее ожидания, оказавшись женатым пенсионером с кучей детей, — по этой же причине она избегает телефонных звонков и видеосвязи, надеясь сначала узнать своего избранника получше. На определенном этапе жулики выясняют почтовый адрес мужчины и высылают ему небольшой трогательный подарок — например, фотографию девушки с нарисованным помадой сердечком. Когда жертва окончательно растает от потоков романтики и знаков внимания, на работе у девушки внезапно происходит какая-либо катастрофа: разбивается дорогой зеркальный фотоаппарат или любимый дизайнерский планшет. Далее события могут развиваться по двум сценариям: доверчивую жертву «раскручивают» на приобретение дорогостоящего устройства, которое затем успешно продается, либо заманивают на сайт поддельного интернет-магазина, где можно приобрести недорогую, но «уникальную» вещь — в этом случае влюбленный мужчина рискует и вовсе расстаться со всеми средствами на счете своей банковской карты, добровольно передав мошенникам ее реквизиты. С учетом того, что одни и те же шаблоны сообщений могут использоваться в процессе переписки сразу с несколькими десятками адресатов, злоумышленники могут получить весьма внушительный нелегальный доход.

Согласно сообщениям, регулярно публикуемым на различных форумах, последнее время процветает еще один вид преступлений, связанных с общением в Интернете. Злоумышленники находят на сайтах знакомств одинокую женщину или мужчину, старающихся наладить личную жизнь, завязывают романтическую переписку и, выяснив, что жертва проживает в своей квартире одна, предлагают ей приехать в другой город для личной встречи. Зачастую мошенники даже приобретают для нее билеты на поезд или самолет (как правило, воспользовавшись для этого крадеными платежными реквизитами) и высылают по указанному адресу. И пока жертва в предвкушении счастливой встречи с избранником мчится в другой конец страны, квартирные воры, никуда не торопясь, выносят из ее жилища все ценные вещи и деньги.

Социальная инженерия активно используется и для взлома электронных почтовых ящиков. Например, в социальной сети потенциальной жертве может поступить сообщение от незнакомого человека, в котором он, крайне вежливо и обходительно извинившись за беспокойство, сообщает, что, возможно, учился в одном классе с матерью получателя. Чтобы убедиться в этом, он просит уточнить ее девичью фамилию. Нередко такие письма поступают пользователям и от отправителей, якобы озабоченных поиском дальних родственников. Отвечая на такие послания, самое время задуматься: а не является ли вопрос «девичья фамилия матери» ключевым для восстановления пароля в используемом жертвой почтовом сервисе? Если это так, злоумышленники очень быстро завладеют ее почтовым ящиком, а с помощью него — незамедлительно получат доступ к аккаунтам во всех социальных сетях и других подобных сервисах, допускающих восстановление пароля доступа при помощи электронной почты.

Распространение вредоносных программ с применением методов социальной инженерии применяется чрезвычайно широко. Практика показывает, что заставить не слишком опытного пользователя запустить на своем компьютере полученную по электронной почте вредоносную программу — не слишком сложная задача. Киберпреступники активно используют в своих целях и фишинг, заманивая пользователя на поддельные сайты, которым он доверяет, — с них ему предлагают скачать вредоносное ПО под видом новой версии браузера или необходимых обновлений.

Поддельные сайты

Этот транспорт, которым пользуются злоумышленники для распространения вредоносных программ, также можно условно отнести к категории фишинга.

В Интернете чрезвычайно распространены всевозможные сайты файлового обмена и торренты, с которых можно скачать полезные программы, игры и музыку, а также сайты из разряда «Вопрос — ответ», где пользователи могут разместить запрос о поиске какой-либо программы и получить соответствующую ссылку. Злоумышленники не гнушаются подделывать такие сайты, размещая там ссылки на вредоносные приложения. Например, пользователю нужно переконвертировать снятый портативной видеокамерой клип из формата .MOV в другой формат, скажем, .AVI. Он вводит соответствующий запрос на сайте поисковой системы и получает ссылку на страничку, где другой пользователь уже задавал похожий вопрос: «Всем привет! Моя камера сохраняет видео в формате mov, а мне нужно записать ее на диск в avi. Как это делается?». И тут же получает ответ: «Для этого тебе нужна специальная программа-конвертер, вот ссылка. Я тоже долго искал такую и нашел — там все просто! Не благодари!». Сайт, на котором опубликован этот диалог, вроде бы, известный и надежный (в действительности злоумышленники создали его копию-двойник), поэтому потенциальная жертва с радостью нажимает на предложенную ссылку… И машина в считаные секунды оказывается заражена троянской программой.

Бесплатные и взломанные приложения

Как известно, бесплатный сыр бывает только в мышеловке, да и то — исключительно для последней по счету мыши. В Интернете распространяется множество различных бесплатных программ. Однако истинных альтруистов среди их разработчиков не так уж и много, программистам тоже хочется есть, поэтому в комплекте с некоторыми бесплатными приложениями часто идут различные «коммерческие» дополнения, от установки которых, впрочем, как правило, можно отказаться, сбросив соответствующие флажки на этапе принятия лицензионного соглашения. Однако лицензионные соглашения обычно никто никогда не читает, поэтому вместе с нужным приложением на компьютер иногда инсталлируется и несколько нежелательных утилит. Этим пользуются многочисленные «партнерские программы», позволяющие разработчикам монетизировать свои бесплатные приложения. Так, в частности, распространяются рекламные троянцы. Достаточно невнимательно прочитать условия использования бесплатной программы или игры, и на экран вашего компьютера отовсюду будут выпрыгивать назойливые рекламные объявления.

Весьма распространенным способом внедрения на компьютер опасного, нежелательного и откровенно вредоносного ПО являются взломанные версии платных коммерческих приложений, распространяемых через торренты и файлообменные ресурсы. Троянцами зачастую оказываются и всевозможные «лекарства» для взлома коммерческого ПО — различные «кряки», «кейгены», «активаторы» и прочие пиратские утилиты. Известны случаи распространения троянцев даже под видом музыки, видео и книг в популярных форматах, в частности FB2 — внутри скачанного архива вместо нового бестселлера известного писателя вполне может оказаться опасный исполняемый файл.

Системы TDS

В целях максимального охвата потенциальной аудитории злоумышленники используют всевозможные системы управления трафиком (TDS, Traffic Distribution Systems). С их помощью осуществляются автоматические перенаправления пользователей (редиректы) на различные вредоносные ресурсы в зависимости от заданных киберпреступником условий. Например, встроенный злоумышленниками в веб-сайт TDS-сценарий может определить по IP-адресу географическое местоположение посетителя, и пользователя из России отправить на русскоязычную страницу, с которой ему будет предложено скачать вредоносную программу под видом популярной игры, а иностранного посетителя — на англоязычную версию этого же сайта. Определив версию браузера, TDS-скрипт автоматически перенаправит пользователя на страницу, содержащую эксплойт конкретно для его версии Internet Explorer, Firefox или Chrome. Наконец, по параметру User Agent, определяющему тип клиентского приложения, пользователи «настольной» версии Windows будут автоматически перенаправлены на страницу с троянцем для этой системы, пользователи мобильных устройств под управлением Android — на страницу загрузки мобильной вредоносной программы, пользователи Apple — на сайт, с которого можно скачать троянца для Mac OS X. Иными словами, TDS позволяют заразить максимальное количество посетителей какого-либо вредоносного сайта, не потеряв привлеченный на него трафик впустую.

К слову, комплекты скриптов для реализации TDS являются весьма популярным и востребованным товаром на всевозможных подпольных форумах.

Ресурсы «для взрослых»

Порнографические ресурсы являются одним из самых массовых источников «компьютерной заразы». Подцепить троянскую программу при просмотре порно — гораздо более вероятно, чем не подцепить ее. В процессе посещения порносайтов у пользователя обычно притупляется критическое мышление, поэтому он с большей долей вероятности нажмет на какую-нибудь кнопку во всплывающем окне, загрузит исполняемый файл под видом фотографии или попытается скачать кодек, якобы необходимый для просмотра видеоролика. Этим и пользуются многочисленные распространители вирусов и троянцев. Число случаев заражения вредоносным ПО среди пользователей ресурсов «для взрослых», по статистике, значительно выше по сравнению с людьми, не посещающими интернет-ресурсы подобной категории.

Взломанные сайты

В последние годы значительно увеличилось количество успешных взломов различных веб-сайтов, работающих с использованием популярных систем управления контентом (CMS, Content Management Systems) с открытым исходным кодом, таких как, например, Wordpress или Joomla. CMS позволяют администраторам сайтов менять опубликованный на собственном интернет-ресурсе контент с использованием удобной административной панели, не прибегая к необходимости вручную править структуру веб-страниц или код разметки гипертекста. Во встроенном в CMS редакторе можно добавлять на страницы сайта текст, иллюстрации, таблицы, менять оформление ресурса, добавлять или удалять разделы, выполнять другие редакторские операции.

Поскольку такие системы управления контентом, как Wordpress и Joomla, установлены на сотнях тысяч сайтов в Интернете, а их исходный код общедоступен и открыт для изучения, злоумышленники зачастую отыскивают в нем уязвимости, которые впоследствии используют для незаконного взлома таких сайтов. Вот лишь некоторые пути, используемые злоумышленниками для достижения этих целей:

Существуют и троянцы, специально разработанные для целенаправленного взлома веб-сайтов. Например, вредоносная программа Trojan.WPCracker была ориентирована на взлом систем управления конкретных сайтов путем последовательного перебора паролей, при этом список целевых ресурсов передавали ей злоумышленники с управляющего сервера.

Взломав сайт, киберпреступники обычно загружают на него шелл-скрипт, открывающий доступ к файловой системе атакованного интернет-ресурса, либо размещают в различных файлах, являющихся компонентами CMS, сценарии для перенаправления посетителей сайта на вредоносные ресурсы (элементы TDS) или для непосредственной загрузки троянцев. Отыскать такие «закладки» порой не под силу даже самим администраторам атакованного интернет-ресурса, поскольку вредоносный код обычно оказывается обфусцирован и спрятан глубоко в недрах служебных файлов CMS. Нередко преступники продают доступ к взломанным сайтам третьим лицам (как правило, другим злоумышленникам) с целью получения непосредственного дохода.

Атаки типа MITM

Атаки типа MITM (Man in the middle — «человек посередине») — это способ атак, при которых злоумышленник внедряется в канал связи между отправителем и получателем информации и может видоизменять эту информацию «на лету» непосредственно в процессе ее передачи.

Примером успешной реализации такой атаки в целях распространения вредоносного ПО можно назвать инцидент с использованием троянца OnionDuke, заражавшего выходные узлы сети TOR, в результате чего весь трафик, транслировавшийся через эти узлы, оказывался инфицированным. При попытке пользователя скачать какую-либо программу из сети TOR через скомпрометированный узел она автоматически оказывалась зараженной вирусом.

Случаи практического применения технологии MITM конкретно в целях распространения угроз достаточно редки, однако злоумышленники часто используют ее в целях сниффинга — анализа сетевого трафика для извлечения оттуда различной полезной информации, например логинов и паролей для доступа к тем или иным интернет-ресурсам.

Назад: Глава 4. Ботнеты
Дальше: Глава 6. Технологии заражения