четверг, мая 29, 2008
IT-Безопасность: «Вирус подмены страниц» терроризирует Рунет
В Рунете появился вирус, подменяющий страницы в браузере пользователей. Он заменяет ссылку на веб-страницу, к примеру, найденную поисковиком, ссылкой на другую страницу, не имеющую отношения к запросу пользователя. Причем, если перезагрузить страницу поисковика, ссылка на эту страницу может исчезнуть.
Также при переходе пользователя по ссылке вредоносная программа может переадресовать его на другой сайт. Вирус подменяет результаты всех поисковых систем, популярных в Рунете, - Google, «Яндекса», «Рамблера», MSN (Live).
«Вирус подмены страниц», как окрестил его поисковик «Яндекс» в своем блоге, распространяется разными способами. Один из них – через скачивание бесплатного ускорителя закачки файлов BitAccelerator, предоставляемого файлообменником Letitbit.net. Вместе с ускорителем на ПК пользователя устанавливается скрытая библиотека, которая остается на жестком диске даже после удаления программы.
По оценкам «Яндекса», сотни тысяч ПК уже заражены вирусом. Ранее антивирусные компании определяли «вирусы подмены страниц» как рекламное ПО, которое не наносит вреда компьютерам пользователей. Однако недавно производители защитного ПО пришли к выводу, что данный вирус опасен.
Сегодня почти все популярные антивирусные системы детектируют и удаляют подобное вредоносное ПО.
источник: securitylab.ru
IT-Безопасность: В Таллине начал работу центр киберзащиты НАТО
Первые эксперты уже начали прибывать в эстонскую столицу, город Таллин, но основные силы будут размещаться здесь начиная с лета этого года. Восемь стран НАТО создали в середине мая в Брюсселе новый центр киберзащиты, который будет располагаться в отремонтированной казарме. Но солдаты, которые проходят здесь подготовку, не являются суперкомпьютерщиками. Центр не выполняет "никакой оперативной задачи", уточняет начальник центра эстонский майор Рауль Риик. Эта задача возложена в каждой стране на CERT (Computer Emergency Response Team – Компьютерная аварийная бригада).
В Таллине эксперты НАТО будут разрабатывать инструменты для защиты киберпространства, которые они предоставят в распоряжение стран-членов альянса в форме учебной подготовки, анализа и консультаций. Эстония, экономика которой в большой степени зависит от интернета, на протяжении нескольких лет боролась за открытие такого центра.
В последние годы в интернете получили широкое распространение финансовые преступления, приносящие больший доход, чем нелегальный оборот наркотиков, говорит Валерия Макнивен, советник при американском федеральном правительстве, кроме того, в последние годы через сеть осуществлялись и операции по политической дестабилизации. В 2007 году против Эстонии была развязана кибервойна, в ходе которой она смогла оценить в полной мере значение внешней помощи. В тот год эстонское правительство решило перенести стоявшую в центре Таллина статую советского солдата на военное кладбище, расположенное рядом с центром НАТО.
Весной 2007 года в течение нескольких недель сайты газет, основных банков и правительственных учреждений подвергались массированным бомбардировкам спамом или стали жертвами взломщиков. "98% банковских транзакций в Эстонии проводится в режиме онлайн. Если вы остановите эту часть экономики пусть даже на 5 минут, это приведет к огромному ущербу, – отмечает "технополитолог" Петер Марвет. Если можно нанести удар по правительству, то так же можно нанести удар по всей стране, совершая атаки на ее предприятия, поясняет аналитик. Эстонские власти открыли глаза. "Такое может произойти со всеми странами", – констатирует майор Риик.
"Из этого следует извлечь урок: вы должны быть в состоянии распознать, что против вас готовится атака, – говорит Аари Леммик, помощник руководителя службы по связям с общественностью министерства обороны. – Надо уметь отличать обычный шум в интернете от скоординированной атаки". По мнению эстонцев, нет никакого сомнения, что эти атаки дело рук России. "У нас нет Женевской конвенции по интернету, – поясняет Аари Леммик. – В соответствии с принципами НАТО, любая вооруженная атака против страны НАТО является атакой на все страны НАТО. Можно ли рассматривать кибератаку как вооруженное нападение? С нашей точки зрения, да, поскольку, если сегодня кто-то захочет нанести военный удар по технологически развитой стране, то, вероятнее всего, он начнет с кибератаки".
Эксперты НАТО рассматривают три вида угроз. Это очень реальная угроза со стороны преступников, которые воруют деньги с вашей кредитной карты (номер этой карты можно купить в интернете за 15 долларов), это пока еще теоретическая угроза атаки со стороны групп террористов, которые завладевают электронными объектами, подрывая, например, доверие со стороны пользователей. Наконец, угроза, крайне актуальная, когда одна страна навязывает свою волю путем оказания давления через интернет. "Вы оставляете на сайтах или на форумах очень четкую информацию о том, как проводить атаки в сети, и кто-то другой делает за вас вашу работу. Вы не отдаете приказ, вашей организации не принадлежат никакие установки, и нет никаких оснований предъявлять вам обвинения", – поясняет лейтенант Раин Оттис. По мнению некоторых экспертов, таких, как Хиллар Аарелаид, директор эстонского CERT, самая большая угроза безопасности исходит от почти тотальной гегемонии операционной системы на рынке. "Смирились бы парижане с тем, что 95% квартир, банков, комиссариатов открывались бы одним ключом?" – поясняет он. По словам Петера Марвета, кибероборона должна осуществляться через пользователей интернета: "Весь мир должен знать об архитектуре интернета, также как миру все известно о воде и электричестве". В эпоху холодной войны людей информировали о том, что они должны делать в случае ядерного удара. "Людей следует информировать уже сейчас, принимая во внимание наличие такого рода угроз", – заявляет Марвет. Экспертам НАТО предстоит разобраться с юридическими аспектами, и их решения, вероятнее всего, не понравятся интернет-сообществу. Во время полугодового председательствования в ЕС Франции будут обсуждаться международные соглашения, которые позволят проводить компьютерные обыски на расстоянии без санкции со стороны страны-гостя сервера.
источник: securitylab.ru
среда, мая 28, 2008
IT-Безопасность: Microsoft обнаружила 464 тыс. случаев заражения вирусом Kraken
Хотя исследователи не согласились, что размер и значение ботнета Kraken примерно такие же, как у знаменитой зомби-сети Storm, группа ИБ-реагирования Microsoft заявила о этом в своем блоге.
По данным Microsoft Malicious Software Removal Tool, ботнет Kraken, который компания называет Oderoor, достиг примерно 80% от размера Storm. В первую неделю после включения Kraken в Malicious Software Removal Tool, Microsoft обнаружила около 464 тыс. случаев заражения и очистила 254 тыс. машин. В случае со Storm Worm, который Microsoft называет Nuwar, компания выявила 537 тыс. экземпляров вируса и очистила 320 тыс. машин.
Как пишется на ресурсе securityfocus.com, Kraken или Oderoor, как Microsoft называет вредоносную программу, является четвертым по распространенности вирусом, согласно данным софтверного гиганта.
Источник: securitylab.ru/
пятница, мая 23, 2008
IT-Безопасность: Уведомления об обновлении Windows распространяют троян
Преступники вновь распространяют сообщения о фальшивых обновлениях безопасности с целью распространения своих троянов. Электронные письма уведомляют получателей о критическом обновлении безопасности для Microsoft Windows (Critical Security Update for Microsoft Windows, KB946026) и включают ссылку якобы на патч. Стиль писем очень похож на тот, который используется Microsoft для описания загрузки обновления, в том числе правдоподобны данные об объеме скачиваемой информации и времени загрузки, хотя адрес отправителя - Microsoft Corporation - должен предупредить пользователей об опасности. Microsoft никогда не рассылает сообщения со ссылками на свои обновления безопасности, и получатели таких сообщений должны быть начеку, предупреждает Heise Security. Вместо обновления безопасности пользователь, перешедший по ссылке, устанавливает на свой ПК троян Virut.AI IRCBot. В данный момент все популярные антивирусные сканеры обнаруживают данную вредоносную программу.
Источник: cnews.ru
четверг, мая 22, 2008
IT-Безопасность: Вирусная эпидемия добралась до Одноклассников
Пользователи социальной сети Одноклассники.ру подверглись рассылке писем, содержащих ссылку на сайт, посещение которого может заразить компьютер.
О рассылке, которая началась чуть меньше недели назад, сообщила в четверг, 22 мая, служба вирусного мониторинга компании Доктор Веб.
Рассылка производится от имени разных пользователей. Например, владельцу аккаунта на Одноклассниках может прийти письмо от некой Глории Чернявской с просьбой бесплатно проголосовать за фотографию претендентки на титул Мисс Рунет. Пройдя по модифицированному адресу пользователь видит фото претендентки и отзывы людей, якобы уже проголосовавших за нее.
Далее, при нажатии на ссылку Отдать свой голос пользователю предлагается скачать видеоролик, в то время как на самом деле на компьютер скачивается вирусная программа.
Инфицированный компьютер затем используется для рассылки спама.
В пятницу, 16 мая, подобной атаке подверглась другая популярная российская социальная сеть - Вконтакте.ру.
Однако, как сообщил руководитель департамента разработки и исследований Доктор Веб Сергей Комаров, "в отличие от недавней эпидемии в сети Вконтакте.ру здесь распространение идет медленнее и, возможно, имеет направленность на определенную аудиторию".
В связи с неослабевающим интересом вирусописателей к социальным сетям разработчики антивирусных программ рекомендуют не открывать письма и вложения в письмах от незнакомых адресатов, не заходить на подозрительные сайты.
Необходимо также устанавливать на ПК антивирусные программы, на которых производятся регулярные обновления вирусных баз.
Источник: rian.ru
IT-Безопасность: «Лаборатория Касперского» защищает пользователей социальной сети «ВКонтакте»
«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, предупреждает об угрозе потери в воскресенье, 25 мая, всех персональных данных на компьютерах пользователей социальной сети «ВКонтакте», чьи ПК оказались зараженными сетевым червем Rovud.
Социальная сеть «ВКонтакте», в которой зарегистрировано более десяти миллионов пользователей, подверглась атаке сетевого червя Rovud утром 16 мая. Следующая более мощная волна распространения новой модификации червя произошла 17 мая. Несмотря на то, что вредоносная программа была оперативно обнаружена, а ее сигнатура добавлена в базу обновлений всех антивирусных продуктов «Лаборатории Касперского», опасность массовой активизации деструктивного функционала червя на незащищенных антивирусными решениями компьютерах остается высокой.
«Лаборатория Касперского» выпустила специальную утилиту, обнаруживающую и удаляющую вирус Rovud. Мы настоятельно рекомендуем всем пользователям сети «ВКонтакте» бесплатно скачать утилиту и проверить свой персональный компьютер. Для запуска утилиты необходимы права администратора на компьютере.
О вредоносном черве Rovud
Технология заражения червем Rovud заключается в том, что пользователю социальной сети «ВКонтакте» приходит сообщение со ссылкой на изображение, переходя по которой, он на самом деле скачивает на свой компьютер вирус, начинающий поиск паролей к сервису «ВКонтакте». Если поиск удается, то всем контактам пользователя рассылается похожее сообщение с предложением перейти по ссылке для просмотра аналогичного «изображения».
Деструктивная функция вредоносной программы заключается в удалении 25 числа каждого месяца всех пользовательских данных с инфицированного диска C. Подробнее о вредоносной программе читайте в веблоге "Лаборатории Касперского".
Источник: kaspersky.ru
среда, мая 21, 2008
IT-Безопасность: ХаляWiFiщики
Хвастаясь перед друзьями и знакомыми навороченным беспроводным роутером, давно ли вы беспокоились о том, чтобы обезопасить его от вторжения? Вопрос не праздный: ведь, согласно недавнему исследованию, желающих воспользоваться чужим незащищенным соединением пруд пруди.
Стремясь выяснить истинные масштабы "вайфай-пиратства", эксперты из компании Accenture провели телефонный опрос восьмисот респондентов из Соединенных Штатов и Великобритании. Результат оказался ошеломительным: хотя бы раз в чужой беспроводной огородик доводилось залезать 12% опрошенных!
Как выяснилось, больше всего пагубной "клептовайфаймании" подвержены люди в возрасте от 18 до 34 лет - в этой категории вкус бесплатного онлайнового меда удалось познать каждому третьему респонденту. Ныне число "вай-ришек" на душу населения в Штатах примерно в полтора раза больше, чем в Британии; впрочем, все идет к тому, что по мере дальнейшего опутывания старушки Европы беспроводной связью подобные показатели будут наблюдаться и тут.
Что ж, нет худа без добра: гораздо более активно клюющийся за океаном "жареный IT-петух" приучил американцев относиться к делу защиты информации куда серьезнее европейских коллег. В то время как на обновление жизненно важного софта в своей системе склонен закрывать глаза каждый седьмой британец, в Штатах доля подобных "пофигистов" составила всего лишь 5%.
Элементарные криптографические премудрости в наши дни все еще остаются для многих пользователей китайской грамотой: свои конфиденциальные данные регулярно шифрует лишь четверть респондентов. Неудивительно, что наплевательски относящиеся к собственной безопасности граждане склонны легко прощать аналогичные прегрешения профессионалам из онлайновой сферы услуг. Так, на вопрос "собираетесь ли вы совершать покупки в магазине, скомпрометировавшем себя утечкой информации о пользователях?" утвердительно ответили три четверти опрошенных.
Увы, взлома одного-единственного пароля злоумышленнику зачастую бывает достаточно, чтобы чувствовать себя на чужой "тачанке" как у себя дома. Половина опрошенных предпочитает пользоваться одним и тем же паролем на все случаи жизни, используя его где угодно - от ящиков электронной почты и аккаунтов в социальных сетях до входа в личный банковский счет.
Но и грамотно разработанная система защиты порой может пасть перед мастерами "социального инжиниринга" - лишним доказательством тому стал забавный эксперимент, проведенный британскими киберзащитниками в преддверии апрельской конференции Infosecurity Europe. Симпатичные девицы с блокнотами, стоящие перед турникетами станций метро, предлагали всем желающим за шоколадку поделиться каким-нибудь из своих компьютерных паролей.
Несмотря на несколько фарсовый характер данного мероприятия, скорее напоминающего флэшмоб, нежели серьезное исследование, разумное зерно в нем есть. Заметим, что на сладкую приманку на сей раз клюнул 21% опрошенных (примечательно, что женщин среди безответственных сладкоежек оказалось в четыре раза больше, чем представителей сильного пола) - в прошлом году эта цифра была выше в три раза.
Что ж, хочется верить, что наблюдаемые ныне положительные сдвиги в сознании пользователей вызваны отнюдь не только заботой о своей фигуре.
Источник: computerra.ru
вторник, мая 20, 2008
IT-Безопасность: Китай "роняет" сервера наугад
Тысячи сайтов Китая и Тайваня серьезно пострадали в результате массированной хакерской атаки. Злоумышленники использовали метод SQL-инъекций для получения доступа к базам данных сайтов, — заявляют эксперты по кибербезопасности. "Первые случаи атак были замечены 13 мая, запросы поступали от расположенного на территории Китая сервера, владелец которого даже не пытался скрыть свой IP-адрес", — сообщил Уэйн Хуанг, исполнительный директор тайбэйской компании Armorize, занимающейся вопросами сетевой безопасности. "Атакующие объединили разные методы SQL-инъекций, грамотно используя возможности брутфорсинга, в результате чего множество слабозащищенных сайтов пострадало". В SQL-инъекционном взломе атакующий пытается эксплуатировать уязвимость базы данных веб сайта путем ввода SQL-запросов в обычные поля, такие как логин. Если у него это получается - атака дает возможность получить доступ к БД и, например, запустить вредоносный код на сайте. По словам Хуанга, большая часть зараженных серверов находится на территории Китая, однако, и в Тайване их немало. Общее количество пострадавших машин достигает отметки в 10 тысяч. На данный момент остальные технические подробности атак не разглашаются. Учитывая сложные отношения между Китаем и островным государством Тайвань, можно предположить, что пострадавшие "заодно" китайские серверы - лишь прикрытие антитайванской агрессии.
Источник: uinc.ru
IT-Безопасность: В стремлении досадить работодателю злоумышленник уничтожил базу данных
В Оренбурге милиционеры задержали молодого человека, который подозревается в создании и распространении компьютерного вируса. В стремлении досадить бывшему работодателю злоумышленник уничтожил целую базу данных компании.
Точная сумма нанесенного ущерба еще устанавливается, но по приблизительным подсчетам составляет сотни тысяч рублей, передает РИА "Новости" со ссылкой на представителя пресс-службы Следственного комитета при МВД РФ.
По данным следствия, до осени 2007 года подозреваемый работал системным оператором в одной из аптечных сетей города Оренбург. Затем он уволился по собственному желанию.
Позднее молодой человек узнал, что взятому на его место сотруднику назначили заработную плату в два раза больше той, что прежде получал он сам. "Этот факт молодого человека сильно огорчил", - добавили в МВД.
Тогда обиженный хакер создал вредоносную программу, которая должна была уничтожить всю базу данных аптечной сети.
Зная коды доступа, злоумышленник отправил программу на электронный адрес сети под видом заявки, чтобы сотрудники компании быстрее ее запустили. Получив письмо-"заявку", новый администратор "автоматически запустил программу", пояснили в милиции.
В результате активизации вируса было уничтожено около 17 тысяч документов, хранящихся в базе данных компании. Все поставки медикаментов были сорваны.
В ходе обыска у подозреваемого изъяли ноутбук, содержащий вредоносную программу. В отношении него возбуждено уголовное дело по части 1 статьи 273 УК РФ (создание, использование и распространение вредоносных программ для электронно-вычислительных машин). Молодому человеку грозит 3-летний срок заключения.
Расследование ведут специалисты из отдела "К" министерства внутренних дел.
Источник: crime-research.ru
понедельник, мая 19, 2008
IT-Безопасность: В Испании арестованы взломавшие 21 тысячу сайтов хакеры
Полиция Испании в субботу сообщила об аресте группы хакеров, подозреваемых в нападениях на правительственные сайты США и ряда стран Латинской Америки и Азии. Как передает AFP, им вменяется взлом 21 тысячи сайтов на протяжении последних двух лет. Группа состояла из пяти человек, среди которых были двое шестнадцатилетних. Организация и координация атак происходила исключительно через интернет, в реальности между собой подозреваемые никогда не встречались. В атаках участвовали и другие хакеры, в основном из Латинской Америки. Сообщается, что на след злоумышленников полиция вышла после того, как они взломали сайт испанского политического альянса Izquierda Unida накануне прошедших в марте парламентских выборов. По данным РИА Новости, которое ссылается на поступивший в редакцию пресс-релиз, речь идет о группе D.O.M. Team 2008, которая занимает пятое место в мире по числу хакерских атак.
Источник: uinc.ru
IT-Безопасность: Ботнет Asprox «рекрутирует» машины на уязвимых сайтах
Зомби-машины ботнета Asprox недавно были оснащены инструментом, который ищет уязвимости сайтов, работающих на базе Microsoft Active Server Pages, а затем пытается эксплуатировать их с помощью SQL-инъекций. После инъекции страницы, посетители сайта перенаправляются на другие ресурсы и получают порцию «коктейля» из вредоносного ПО. Схема заражения имеет «червеподобные» возможности. «Поскольку инструменты распространяются при помощи ботнета, это выглядит как работа червя, что может привести к противоречивым сообщениям в СМИ и блогах о подлинном характере атаки, - говорит Джо Стюарт (Joe Stewart), исследователь из SecureWorks, который обнаружил атаку, - Тем не менее, инструменты для SQL-атак не выкладывают на свои собственные страницы, они полагаются на Asprox botnet в целях пропаганды новых хостов». До сих пор зомби Asprox инфицировали лишь около 1 тыс. веб-страниц, которые «оснащены» скриптами, ссылающимися на другие сайты, например, direct84.com и adword71.com. В дополнение к скрытому заражению пользователей вредоносным ПО, инфицированию веб-страниц, также распространяется вредоносное ПО для конкурирующего ботнета, известного как Cutwail. Кроме того, зараженные сайты пытаются установить WinFixer, программу, которая сообщает пользователям о мнимом заражении в попытке заставить их обманным путем приобрести фальшивое антивирусное ПО. В данный момент лишь четыре из 32 популярных антивирусных продуктов детектируют инструменты SQL-инъекции, согласно данным VirusTotal. «В отличие от предыдущих массовых SQL-инъекций, которые, как предполагается, осуществляются китайскими хакерами, Asprox, скорее всего, распространяется из Восточной Европы, - цитирует Стюарта The Register. - Непонятно, каким образом группа хакеров приобрела инструменты для атаки. Они могли купить, украсть или разработать его с нуля». Основная цель использования Asprox заключается в рассылке спама. До SQL-атаки он насчитывал около 15 тыс. зараженных машин.
Источник: cnews.ru
суббота, мая 17, 2008
IT-Безопасность: Появился концептуальный руткит для Cisco IOS
Себастьян Муниц (Sebastian Muniz), эксперт по ИТ-безопасности из компании Core Security Technologies разработал экспериментальное ПО для удаленного администрирования (руткит), работающее в операционной системе Cisco IOS, сообщает securitylab.ru. Напомним, что данная ОС управляет большинством сетевых маршрутизаторов и концентраторов Cisco. Как правило, руткиты включают в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты (в случае неядерного руткита). Руткит позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе. Сегодня большинство руткитов работают в среде операционных систем Windows, меньшее их количество наблюдается под Linux и Unix. Руткиты под экзотические ОС, такие как IOS, вообще уникальны. Муниц продемонстрирует свою разработку через неделю - 22 мая на конференции EuSecWest conference в Лондоне. Однако уже сегодня он рассказывает, что созданный руткит работает сразу на нескольких версиях IOS и загружается он на этапе включения устройства, после чего пребывает во flash-памяти маршрутизатора, предоставляя административный доступ к устройству. Исходный код руткита Муниц пока не планирует публиковать, а все данные передаст в Cisco. По словам экспертов из аналитической компании IDC,в том случае, если указанный руткит в действительности открывает доступ злоумышленнику к сетевому устройству, отвечающему за передачу данных от тысяч клиентов, то он может быть критически опасен. Ситуация усугубляется тем, что оборудование Cisco фактически является стандартом де-фактом для многих телекоммуникационных компаний и очень широко распространено. За последний год компания Cisco также неоднократно сообщала об уязвимостях в ISO, однако в большинстве случаев они были связаны либо в неверной конфигурацией по умолчанию, либо в уязвимостями, связанными с неверной обработкой IP-протоколов (IPv4 и IPv6) и его заголовков.
Источник: uinc.ru
IT-Безопасность: Лаборатория Касперского: "Создавать ботнеты смогут даже школьники"
Цены на управление зараженными зомби-компьютерами варьируются от $5 до $1000, а их создание становится все более простой процедурой, отмечает "Лаборатория Касперского" в новом исследовании о ботнетах (сетях зомби-компьютеров). Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба - рассылки спама, кибершантажа, связанного с DoS-атаками, анонимного доступа в Сеть, фишинга, кражи конфиденциальных данных. За 10 лет существования ботнеты сильно эволюционировали. В авангарде сейчас P2P-ботнеты – эксперименты по их созданию ведутся давно, но первая крупномасштабная сеть появилась только в 2007 году. Масштабы современных зомби-сетей впечатляют. По разным оценкам, размеры ботнета Storm Worm могли составлять от 50 тысяч до 10 миллионов зомби-машин. Впрочем, к концу 2007 года Storm-ботнет как будто растаял, хотя "Лаборатория Касперского" по-прежнему ежедневно получает несколько новых версий бота. Некоторые эксперты считают, что зомби-сеть распродали по частям, другие полагают, что ботнет оказался нерентабельным: его разработка и поддержка не окупались получаемой прибылью. "На сегодняшний день ботнеты являются одним из основных источников нелегального заработка в Интернете и грозным оружием в руках злоумышленников, - пишет эксперт "Лаборатории Касперского". - Ожидать, что киберпреступники откажутся от столь эффективного инструмента, не приходится, и эксперты по безопасности с тревогой смотрят в будущее, ожидая дальнейшего развития ботнет-технологий". Отмечается также, что в построении интернациональных ботнетов могут быть заинтересованы не только киберпреступники, но и государства, готовые использовать зомби-сети как инструмент политического давления. Кроме того, возможность анонимно управлять зараженными машинами вне зависимости от их географического нахождения позволяет провоцировать конфликты между государствами: достаточно организовать кибератаку на серверы одной страны с компьютеров другой.
Источник: uinc.ru
IT-Безопасность: Ботнеты
Источник: viruslist.com
- Что такое ботнет
- Использование ботнетов
- Команды для ботов
- Типы ботнетов
- Эволюция ботнетов
- P2P-ботнеты
- Ботнет-бизнес
- Заключение
В статье речь пойдет о том, что такое зомби-сети, или ботнеты, как они формируются, кто и как наживается с их помощью, а также о том, каковы тенденции развития ботнетов.
Ботнеты существуют уже около 10 лет, и приблизительно столько же эксперты предупреждают о той опасности, которую они представляют. Тем не менее, проблема ботнетов по-прежнему остается недооцененной, и многие пользователи (до тех пор пока им не отключат Интернет, пока они не обнаружат исчезновение денег с кредитных карт или у них не украдут почтовый ящик или аккаунт IM) плохо понимают, в чем состоит реальная угроза зомби-сетей.
Что такое ботнет
Итак, прежде всего, давайте разберемся, что такое ботнет или зомби-сеть.
Ботнет – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.
Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.
В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.
Использование ботнетов
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.
Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.
Именно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, среднестатистический спамер зарабатывает 50-100 тысяч долларов в год. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.
Еще один «бонус» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.
Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.
Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании скорее выполнят требования шантажистов, чем обратятся в полицию за помощью. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.
DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.
Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.
Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.
Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.
Команды для ботов
Команды, которые выполняют боты, бывают самые разные, но, как правило, они входят в нижеприведенный список. Названия команд могут отличаться в разных реализациях ботов, но суть остается той же.
Update: загрузить и выполнить указанный исполняемый файл или модуль с указанного сервера. Эта команда является базовой, поскольку именно она реализуется в первую очередь. Она позволяет обновлять исполняемый файл бота по приказу хозяина зомби-сети, в случае если хозяин хочет установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программами (вирусами, червями), а также устанавливать другие боты на компьютер. С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в Интернете.
Flood: начать процесс создания потока ложных запросов на указанный сервер в Сети с целью вывода из строя сервера или перегрузки интернет-канала указанного сегмента глобальной Сети. Создание подобного потока может вызывать серьезные неполадки сервера, приводящие к его недоступности для обычных пользователей. Такой тип атаки с использованием ботнетов носит название DDoS-атаки. Типов различных вариантов создания ложных сетевых запросов существует очень много, поэтому мы не будем описывать их все и ограничимся лишь общим понятием.
Spam: загрузить шаблон спам-сообщения и начать рассылку спама на указанные адреса (для каждого бота выделяется своя порция адресов).
Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта функция не выделяется в отдельную команду, а сразу включается в общий функционал бота. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом.
Существуют и другие команды, однако они не входят в число наиболее популярных и поэтому реализованы лишь в отдельных ботах. Эти дополнительные команды позволяют получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя (используется для кражи аккаунтов и конфиденциальных данных), пересылать указанный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т. п.
Типы ботнетов
Классификация ботнетов сегодня достаточна проста. Она основывается на архитектуре ботнетов и протоколах, используемых для управления ботами.
Классификация ботнетов. Архитектура
До сих пор были известны лишь два типа архитектуры ботнетов.
- Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.
Рис. 1. Централизованная топология (C&C)Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.
- Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.
Рис. 2 Децентрализованная топология (P2P)На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.
Классификация ботнетов. Используемые сетевые протоколы
Для передачи боту команд хозяина ботнета необходимо, как минимум, установить сетевое соединение между зомби-компьютером и компьютером, передающим команду. Все сетевые взаимодействия основаны на сетевых протоколах, определяющих правила общения компьютеров в сети. Поэтому существует классификация ботнетов, основанная на используемом протоколе общения.
По типу используемых сетевых протоколов ботнеты делятся на следующие группы.
- IRC-ориентированные. Это один из самых первых видов ботнетов, где управление ботами осуществлялось на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединялся с указанным в теле программы-бота IRC-сервером, заходил на определенный канал и ждал команды от своего хозяина.
- IM-orientedIM-ориентированные. Не очень популярный вид ботнетов. Отличается от своих IRC-ориентированных собратьев только тем, что для передачи данных используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др. Невысокая популярность таких ботнетов обусловлена сложностями, возникающими при создании отдельного аккаунта IM-службы для каждого бота. Дело в том, что боты должны выходить в Сеть и постоянно присутствовать онлайн. Поскольку большинство IM-служб не позволяют входить в систему с разных компьютеров, используя один и тот же аккаунт, у каждого бота должен быть свой номер IM-службы. При этом владельцы IM-служб всячески препятствуют любой автоматической регистрации аккаунтов. В результате хозяева IM-ориентированных ботнетов сильно ограничены в числе имеющихся зарегистрированных аккаунтов, а значит и в числе ботов, одновременно присутствующих в Сети. Конечно, боты могут использовать один и тот же аккаунт, выходить в онлайн один раз в определенный промежуток времени, отсылать данные на номер хозяина и в течение короткого промежутка времени ожидать ответа, но это все весьма проблематично: такая сеть реагирует на команды очень медленно.
- Веб-ориентированные. Относительно новая и быстро развивающаяся ветвь ботнетов, ориентированная на управление через www. Бот соединяется с определенным веб-сервером, получает с него команды и передает в ответ данные. Такие ботнеты популярны в силу относительной легкости их разработки, большого числа веб-серверов в Интернете и простоты управления через веб-интерфейс.
- Другие. Кроме перечисленных выше существуют и другие виды ботнетов, которые соединяются на основе своего собственного протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.
Эволюция ботнетов
История ботнетов началась в 1998-1999 годах, когда появились первые программы поведения Backdoor - небезызвестные NetBus и BackOrifice2000. Это были концепты, т.е. программы, в которых реализованы принципиально новые технологические решения. NetBus и BackOrifice2000 впервые несли полный набор функций удаленного управления зараженным компьютером, что позволяло злоумышленникам работать с файлами на удаленном компьютере, запускать новые программы, получать снимки экрана, открывать/закрывать CD-привод и т.д.
Изначально созданные как троянские программы, бэкдоры работали без разрешения или уведомления пользователя. Для управления зараженным компьютером злоумышленник должен был сам установить соединение с каждой инфицированной машиной. Первые бэкдоры работали в локальных сетях на основе стека протоколов TCP/IP и, по сути, являлись демонстрацией вариантов использования Windows API для удаленного управления компьютером.
Клиентские программы для удаленного управления компьютерами уже в начале 2000-х могли одновременно управлять сразу несколькими машинами. Однако, в отличие от современных бэкдоров, программы NetBus и BackOrifice2000 выступали в роли сетевого сервера: они открывали определенный порт и пассивно ждали подключений хозяина (Backdoor’ы, используемые для построения ботнетов сегодня, устанавливают соединения сами).
Затем кто-то из злоумышленников придумал сделать так, чтобы зараженные бэкдорами компьютеры сами выходили на связь и их всегда можно было видеть онлайн (при условии, что они включены и работают). Скорее всего, этот «кто-то» был хакером, потому что боты нового поколения использовали традиционный для хакеров канал связи - IRC (Internet Relay Chat). Вероятно, разработку новых ботов сильно упростило то, что в самой системе IRC изначально функционировали боты с открытым исходным кодом, но не направленные на удаленное управление системой, а с другим функционалом (эти программы отвечали на запросы пользователей, например, выдавали информацию о погоде или о времени последнего появления определенного пользователя в чате).
Компьютеры, зараженные новыми ботами, стали соединяться с IRC-серверами, в качестве посетителей выходить на связь через определенный IRC-канал и ждать указаний от хозяина ботнета. Хозяин мог в любое время появиться онлайн, увидеть список ботов, отослать команды сразу всем зараженным компьютерам или отправить отдельное сообщение одной машине. Это был первый механизм реализации ботнета с централизованным управлением, позже названный C&C (Command & Control Centre).
Разработка таких ботов была несложной благодаря простоте синтаксиса протокола IRC. Для того чтобы использовать IRC-сервер, необязательно нужна специализированная клиентская программа. Достаточно иметь универсальный сетевой клиент, такой как приложение Netcat или Telnet.
О появлении IRC-ботнетов стало известно довольно быстро. Как только о них появились публикации в хакерских журналах, появились «угонщики» ботнетов люди, которые обладали, возможно, теми же знаниями, что и владельцы ботнетов, но охотились за более легкой наживой. Они искали такие IRC-каналы, где было подозрительно много посетителей, заходили на них, изучали и «угоняли» ботнет: перехватывали управление сетью, перенаправляли боты на другие, защищенные паролем, IRC-каналы и в результате получали полный единоличный контроль над «чужой» сетью зараженных машин.
Следующим этапом развития ботнетов стало перемещение центров управления во всемирную паутину. Сначала хакеры разработали средства удаленного управления сервером, которые были основаны на таких популярных скрипт-движках, как Perl и PHP, в редких случаях – ASP, JSP и нескольких других. Затем кто-то создал такое соединение компьютера в локальной сети с сервером в Интернете, которое позволяло откуда угодно управлять компьютером. Схема удаленного управления компьютером в локальной сети в обход таких средств защиты, как прокси и NAT, была опубликована в Интернете и быстро стала популярной в определенных кругах. Удаленное управление было основано на установлении HTTP-соединения с управляющим сервером с использованием локальных настроек компьютера. Если пользователь устанавливал в настройках системы адрес, порт, логин и пароль для прокси-сервера, автоматически активизировался механизм авторизации библиотеки функций для поддержки протокола HTTP (Wininet.dll). С точки зрения программиста, это было простым и доступным решением.
Полулегальные разработки средств удаленного управления, направленные на получение в обход защиты удаленного доступа к машинам в локальных сетях, дали толчок к созданию веб-ориентированных ботнетов. Чуть позже был разработан простой скрипт управления небольшой сетью компьютеров, а злоумышленники нашли способ использовать такие управляемые сети в корыстных целях.
Веб-ориентированные ботнеты оказались чрезвычайно удобным решением, которое популярно и сегодня. Множеством компьютеров можно управлять с любого устройства, имеющего доступ в Интернет, в том числе с мобильного телефона, поддерживающего WAP/GPRS, а с веб-интерфейсом способен справиться даже школьник. Дальнейшее развитие Интернета и совершенствование технологий веб-разработки также стимулировали использование веб-ботнетов.
Были попытки создать ботнеты, управляемые через каналы IM-служб. Но IM-ботнеты не получили широкого распространения, в частности потому, что они требуют регистрации номеров IM, а в условиях, когда системы защиты от автоматической регистрации аккаунтов постоянно меняются, зарегистрировать множество аккаунтов автоматически довольно сложно.
На этом эволюция ботнетов не закончилась: перебрав варианты использования протоколов, разработчики ботнетов переключились на архитектуру сети. Оказалось, что ботнет классической архитектуры (много ботов и один центр управления) чрезвычайно уязвим, так как зависит от критического узла – центра управления, при отключении которого сеть можно считать потерянной. Решения в виде одновременного заражения компьютеров разными ботами, ориентированными на разные центры управления, иногда срабатывают, но такие ботнеты гораздо сложнее поддерживать, поскольку нужно следить сразу за двумя-тремя центрами управления.
Весьма эффективными и опасными с точки зрения экспертов могут стать ботнеты с архитектурой P2P, в которых центра управления нет. Владельцу сети достаточно дать команду одной из машин, дальше боты передают команду сами. В принципе каждый компьютер в ботнете может соединиться с любым другим компьютером, входящим в ту же сеть. Эксперименты по созданию таких ботнетов проводились довольно давно, однако первый крупномасштабный ботнет на основе P2P-архитектуры появился только в 2007 году. И именно P2P-ботнеты сейчас занимают внимание исследователей информационной безопасности.
P2P-ботнеты
«Штормовой» ботнет
В 2007 году внимание исследователей информационной безопасности привлек P2P-ботнет, созданный на основе вредоносной программы, известной как Storm Worm. Авторы «штормового» червя распространяли свое детище весьма активно: по-видимому, они создали целую фабрику по созданию новых версий вредоносной программы. Начиная с января 2007 года мы ежедневно получаем 3-5 различных вариантов Storm Worm (по классификации «Лаборатории Касперского»- Email-Worm.Win32.Zhelatin).
Некоторые эксперты считают, что Storm Worm представляет собой вредоносную программу для построения зомби-сетей нового поколения. О том, что бот был разработан и распространяется профессионалами в своей области, а архитектура и защита зомби-сети хорошо продуманы, свидетельствуют следующие характеристики «штормового» ботнета:
- Код бота мутирует, что напоминает полиморфные вирусы. Отличие Storm Worm состоит в том, что код, осуществляющий мутации, работает не внутри самой программы (как у полиморфиков), а на специальном компьютере в Сети. Этот механизм получил название «серверный полиморфизм» (server-side polymorphism).
- Мутации происходят достаточно часто (были зафиксированы случаи мутаций раз в час) и – главное – на стороне сервера, так что обновления антивирусных баз для многих пользователей оказываются неэффективными.
- Штормовой ботнет защищает свои ресурсы от слишком любопытных исследователей. Многие антивирусные компании периодически скачивают новые экземпляры червя с серверов, откуда происходит распространение вредоносной программы. Когда обнаруживаются частые обращения с одного и того же адреса, ботам дается команда начать DDoS-атаку этого адреса .
- Вредоносная программа-бот старается как можно незаметнее функционировать в системе. Очевидно, что программа, которая постоянно атакует компьютер или проявляет большую сетевую активность, быстрее обращает на себя внимание и администраторов, и пользователей. Поэтому дозированная активность, которая не требует использования значительного числа компьютерных ресурсов, с точки зрения вредоносной программы наиболее безопасна.
- Вместо коммуникации с центральным сервером штормовой червь связывается лишь с несколькими «соседними» компьютерами в зараженной сети, что делает задачу выявления всех зомби-машин в P2P-сети практически невыполнимой. Это принцип организации разведгруппы: каждый, кто входит в такую группу, знает только нескольких других членов группы, и провал одного агента разведки не означает, что вся группа раскрыта.
- Авторы червя постоянно меняют способы его распространения. Изначально вредоносная программа распространялась как вложение в спамовые письма (в частности, под видом PDF-файлов); затем в спаме рассылались ссылки на зараженные файлы; были также попытки автоматического размещения в блогах комментариев, которые содержали ссылки на зараженные веб-страницы. И при любых способах распространения этой вредоносной программы использовались изощренные методы социальной инженерии.
Storm-ботнет принес немало проблем. Помимо массовой рассылки спама, его подозревают в участии в различных крупномасштабных DDoS-атаках по всему миру, и, по заявлениям некоторых исследователей, даже во время кибератаки на сайты эстонских правительственных учреждений в 2007 году не обошлось без участия «штормового» ботнета. То, на что потенциально способна такая сеть, вызывает неприятные ощущения у провайдеров и интернет-хостеров. Напряжения добавляет тот факт, что истинные размеры «штормового» ботнета так и остались тайной. Если другие зомби-сети, полностью или частично опирающиеся на C&C, можно увидеть целиком (в C&C виден каждый подключенный зомби-компьютер), то списка зараженных машин, входящих в «штормовой» ботнет, не видел никто из экспертов. По разным оценкам, размеры ботнета Storm Worm могли составлять от 50 тысяч до 10 миллионов зомби-машин.
К концу 2007 года Storm-ботнет как будто растаял, хотя мы по-прежнему ежедневно получаем несколько новых версий бота. Некоторые эксперты считают, что зомби-сеть распродали по частям, другие полагают, что ботнет оказался нерентабельным: его разработка и поддержка не окупались получаемой прибылью.
Mayday
Еще одним интересным, на наш взгляд, ботнетом, который технологически несколько отличается от своих предшественников, является Mayday. Такое название бот (по классификации «Лаборатории Касперского - Backdoor.Win32.Mayday) и созданная на его основе сеть получили благодаря тому, что имя домена, к которому обращалась вредоносная программа в одной из своих модификаций, включало в себя слово «mayday».
Mayday - это очередной ботнет, построенный на архитектуре P2P. После запуска бот соединяется с указанным в теле программы веб-сервером, регистрируется в его базе данных и получает список всех ботов в зараженной сети (в случае Storm Worm это была лишь часть списка). Далее бот устанавливает соединения типа «компьютер-компьютер» с другими ботами, входящими в зомби-сеть.
Нами было зарегистрировано 6 различных серверов по всему миру (в Великобритании, США, Нидерландах, Германии), с которыми связывались боты на стадии построения ботнета. К началу марта в работоспособном состоянии остался лишь один из серверов, на котором было зарегистрировано около 3 тысяч ботов (напомним, что, по самым скромным оценкам, в «штормовой» ботнет входили десятки тысяч зараженных машин). Помимо размеров сети, Mayday явно уступает своему «старшему брату» Storm в нескольких важных позициях: в Mayday-ботнете используется примитивный нешифрованный протокол общения, код вредоносной программы не подвергся специальной обработке для усложнения его анализа антивирусным ПО, и, главное, новые варианты бота выпускаются совсем не с той периодичностью, какую мы видим в случае Storm Worm. Программа Backdoor.Win32.Mayday была впервые задетектирована «Лабораторией Касперского» еще в конце ноября 2007 года, и за четыре прошедших месяца в нашу коллекцию попало чуть больше 20 различных вариантов программы.
Что касается технологических новинок, то следует отметить два нестандартных подхода, реализованных в ботнете.
Во-первых, в сети Mayday коммуникация типа «компьютер-компьютер» (P2P) изначально основана на передаче ICMP-сообщений с 32-байтной полезной нагрузкой.
Большинству пользователей протокол ICMP (Internet Control Message Protocol — межсетевой протокол управляющих сообщений) знаком по прикладной утилите PING, использующей ICMP для проверки доступности сетевого хоста. Однако основные функции протокола значительно шире. Вот что сказано об ICMP в Wikipedia: «ICMP — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и в других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции».
На рисунке 10 изображен интерфейс программы-сниффера сетевых пакетов, зарегистрировавшей передачу ICMP-пакетов от бота Mayday. Никакой из ботов, известных нам ранее, не использовал ICMP для передачи данных.
Рис. 3. ICMP-пакеты, отправляемые ботом Mayday
С помощью ICMP осуществляется проверка доступности ботов в зараженной сети и их идентификация. Поскольку бот Mayday ориентирован на работу в Windows XP SP2, после запуска он изменяет правила сетевого экрана Windows, так чтобы получение ICMP-пакетов было разрешено.
Второй и, пожалуй, основной особенностью Mayday-ботнета является его центр управления.
Для работы центров управления веб-ориентированных ботнетов используется механизм, известный как CGI (Common Gateway Interface). Изначально технологией веб-серверов была предусмотрена возможность использования исполняемых файлов в качестве реализации CGI, позже появились различные скрипт-движки. CGI-приложение генерирует в реальном времени контент запрашиваемой пользователем веб-страницы, обеспечивая выполнение программы и вывод результатов ее работы вместо статических данных с сервера. CGI-скрипт работает по аналогичной схеме, но для вывода результатов своей работы ему требуется интерпретатор – скрипт-движок. Как правило, командные центры веб-ориентированных ботнетов разрабатываются злоумышленниками с использованием скрипт-движков.
В сотрудничестве с правоохранительными органами нам удалось получить копию программы, которая работает в командном центре ботнета Mayday. Серверное ПО Mayday представляет собой цельный (без модулей) 1,2-мегабайтный исполняемый ELF-файл (Linux-аналог исполняемых EXE-файлов Microsoft Windows), не требующий наличия скрипт-движка в системе. На первый взгляд, ничего удивительного в разработке авторами Mayday CGI-приложения вместо CGI-скрипта вроде бы нет. Тем не менее, такое решение вызывает ряд вопросов.
Разработка CGI-приложения на пару порядков сложнее разработки CGI-скрипта, поскольку требует особых усилий для реализации стабильного и надежного кода. В настоящее время 99% веб-разработок ведется на основе скрипт-движков, а монолитные исполняемые CGI-программы создаются лишь в случае жесткой необходимости оптимизировать все до мелочей. Как правило, такой подход используется крупными корпорациями при разработке проектов, которые должны работать в условиях огромных нагрузок. Монолитные исполняемые CGI-программы используются, например, в таких веб-системах, как e-Bay, Paypal, Yahoo и др.
Зачем же создавался безмодульный исполняемый файл в случае ботнета Mayday? Одной из возможных причин могло быть желание разработчиков усложнить «чужакам» задачу редактирования, перенастройки и перепродажи центра управления. В любом случае анализ структуры серверного ПО Mayday дает основание предполагать, что такая серьезная разработка (код аккуратно причесан, созданная система классов универсальна) требует хорошо организованной команды разработчиков. Более того, для создания ПО Mayday-ботнета злоумышленникам, скорее всего, пришлось вести работу над двумя разными проектами: разработкой программ для Windows и для Linux.
Весной 2008 года «Лабораторией Касперского» не было зафиксировано ни одного нового образца Mayday-бота. Возможно, авторы вредоносной программы взяли таймаут, и Mayday-ботнет еще проявит себя в недалеком будущем.
Ботнет-бизнес
Ответ на вопрос, почему ботнеты продолжают развиваться и становятся все более актуальной проблемой, можно получить, оценив нынешнее состояние рынка ботнетов. Сегодня киберпреступникам, которые хотят построить ботнет, не нужны ни специальные знания, ни крупные денежные суммы. Подпольная ботнет-индустрия по сходной цене предоставляет желающим обзавестись ботнетом все необходимое: ПО, готовые сети и услуги по анонимному хостингу.
Заглянем на интернет-форумы, специализирующиеся на продаже нелегального софта и услуг, посмотрим, как работает ботнет-индустрия, обслуживающая хозяев зомби-сетей.
Первое, что необходимо для построения ботнета, – это сам бот, программа, позволяющая удаленно выполнять на компьютере пользователя некоторые действия без ведома пользователя. ПО для создания ботнета можно легко купить в Сети, найдя соответствующее объявление и обратившись к тому, кто его разместил.
Рис. 4. Объявление о продаже бота и панели управления (перевод с русского)
Цены на боты варьируются от $5 до $1000, в зависимости от того, насколько распространен бот, детектируется ли он антивирусом, какие команды поддерживает и т.д.
Для построения простейшего веб-ориентированного ботнета необходимо иметь хостинговую площадку, где можно разместить центр управления. Любой желающий может купить такую площадку - вместе с услугами службы поддержки и возможностью анонимной работы с сервером (хостер, как правило, гарантирует недоступность файлов журнала для кого-либо, в том числе для «компетентных» органов). Объявлений, подобных приведенному ниже, на форумах в Интернете достаточно много.
Рис. 5. Предложение хостинг-услуг для построения ботнета
Когда площадка C&C построена, необходимы зараженные ботом машины. Желающие могут купить уже готовую сеть с «чужим» установленным ботом. Поскольку случаи кражи ботнетов в среде злоумышленников не редкость, покупатели, как правило, предпочитают заменить на собственные и вредоносную программу, и центр управления, получив гарантированный контроль над зомби-сетью. Для этого боту в купленной сети дают команду скачать и запустить новый бот (с новым адресом C&C) и самоудалиться. Тем самым «чужая» программа-бот заменяется на «свою», и ботнет начинает взаимодействовать с новым центром управления. Такая «перезагрузка» ботнетов является нелишней и с точки зрения их защищенности и анонимности: «старый» C&C и «старый» бот еще до продажи вполне могут попасть в поле зрения специалистов по компьютерной безопасности.
К сожалению, построить собственный ботнет также не составляет особого труда: для этого есть специальные средства. Самые популярные из них – программные пакеты, известные как MPack, IcePack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной веб-страницы, используя уязвимости в программном обеспечении браузеров или в плагинах к ним. Такие программные пакеты называются веб-системами массового заражения или просто ExploitPack. После срабатывания эксплойта браузер покорно загружает из Сети на компьютер пользователя исполняемый файл и запускает его. Таким файлом как раз и является программа-бот, которая подключает новый зомби-компьютер в ботнет и передает управление им злоумышленнику.
К сожалению, эти средства настолько доступны, что даже подростки с легкостью их находят и пытаются заработать на перепродаже.
Рис. 6. Объявление о продаже MPack, вывешенное 16-летним подростком
Любопытно, что ExploitPack изначально были разработаны русскими хакерами, однако нашли своих клиентов и в других странах. Эти вредоносные программы были локализованы (что свидетельствует об их коммерческом успехе на черном рынке) и теперь активно используются, например, в Китае.
Рис. 7. Оригинальная русская версия IcePack
Рис. 8. Локализованная китайская версия IcePack
Любая система тем популярнее и тем успешнее на киберкриминальном рынке, чем проще ее использовать. Это понимают и разработчики таких систем, поэтому для повышения популярности своих детищ и соответственно увеличения спроса на них разрабатывают простые механизмы установки и конфигурирования систем - будь то система для C&C или просто ExploitPack.
Так, например, установка командного центра, как правило, состоит из копирования файлов на сторону веб-сервера и обращения с помощью браузера к скрипту install.php. Значительно облегчает задачу наличие веб-интерфейса инсталлятора: киберпреступникам достаточно правильно заполнить поля веб-формы, чтобы командный центр был правильно сконфигурирован и начал работать.
Рис. 9. Веб-инсталлятор C&C
В киберкриминальном мире хорошо известно, что рано или поздно антивирусы начнут детектировать программу-бота. Как следствие, те зараженные машины, на которых стоит антивирус, для злоумышленников будут потеряны, а скорость заражения новых компьютеров значительно снизится. Есть несколько способов, с помощью которых хозяева ботнетов пытаются сохранить свои сети. Наиболее эффективный – защита вредоносной программы от детектирования с помощью специальной обработки исполняемого кода: киберкриминальный рынок предлагает широкий выбор услуг по его шифрованию, упаковке и обфускации.
Рис. 10. Предложение услуги по обработке программ для сокрытия кода от антивируса
Таким образом, все, что необходимо для успешного существования и развития ботнетов, есть в Интернете, и остановить развитие ботнет-индустрии пока невозможно.
Заключение
На сегодняшний день ботнеты являются одним из основных источников нелегального заработка в Интернете и грозным оружием в руках злоумышленников. Ожидать, что киберпреступники откажутся от столь эффективного инструмента, не приходится, и эксперты по безопасности с тревогой смотрят в будущее, ожидая дальнейшего развития ботнет-технологий.
Опасность ботнетов усугубляется тем, что их создание и использование становится все более простой задачей, с которой в ближайшем будущем будут в состоянии справиться даже школьники. А цены на развитом и структурированном ботнет-рынке весьма умеренные.
В построении интернациональных ботнетов могут быть заинтересованы не только киберпреступники, но и государства, готовые использовать зомби-сети как инструмент политического давления. Кроме того, возможность анонимно управлять зараженными машинами вне зависимости от их географического нахождения позволяет провоцировать конфликты между государствами: достаточно организовать кибератаку на серверы одной страны с компьютеров другой.
Сети, объединяющие ресурсы десятков, сотен тысяч, а порой и миллионов зараженных машин, обладают очень опасным потенциалом, который (к счастью!) пока не использовался в полном объеме. Между тем, вся эта грозная кибермощь опирается на инфицированные компьютеры домашних пользователей. Именно они составляют подавляющее большинство зомби-машин, и именно их злоумышленники используют в своих целях.
Если вы вспомните десять своих друзей и знакомых, у которых есть компьютеры, то, скорее всего, один из них является владельцем машины, входящей в какую-либо зомби-сеть. А может быть, это именно ваш компьютер?!
IT-Безопасность: ВКонтакте.Ру поразила вирусная эпидемия
Пользователи популярной социальной сети ВКонтакте.Ру стали жертвами серьезной вирусной эпидемии, говорится в сообщении компании Доктор Веб, служба вирусного мониторинга которой зарегистрировала вредоносную программу.
В сообщении уточняется, что причиной эпидемии стал опасный сетевой "червь", который рассылает с инфицированных машин другим пользователям сети ВКонтакте.Ру ссылку на картинку в формате jpeg, ведущую на ресурс злоумышленника в сети интернет (http://******.misecure.com/deti.jpg). Реально же сервер передает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым "червем".
Будучи запущенным на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Таким образом, пользователь видит то, что ожидал увидеть, не подозревая, что стал жертвой злоумышленника.
Между тем, скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, "червь" устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к ВКонтакте.Ру. Если пароль находится, то "червь" получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку.
"Червь" несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена): "Павел Дуров Работая с ВКонтакте.РУ Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!". Одновременно с этим начнется удаление с диска C всех файлов, говорится в сообщении.
"Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных - документы, фотографии, электронные письма и многое другое", - предостерегают эксперты Доктор Веб.
"Поэтому самое лучшее действие при появлении такого сообщения - немедленное выключение питания компьютера, что позволит, по крайней мере, сохранить если не все данные, то хотя бы их часть", - советуют они.
В сообщении также отмечается, что специалисты компании Доктор Веб предупредили об опасности сайт ВКонтакте.Ру, в результате чего распространение червя практически прекратилось. Тем не менее, специалисты компании рекомендуют пользователей сайта, которые посмотрели картинку на названном выше ресурсе, проверить свой компьютер на вирусы.
Источник: korrespondent.net
четверг, мая 15, 2008
IT-Безопасность: Русско-украинский троян заражает форумы
Более полумиллиона веб-страниц в Сети участвуют в троянской атаке, распространяя вредоносную программу Zlob, сообщается в блоге компании Trend Micro. Плохо сконфигурированные доски объявлений и форумы на PHP дают возможность размещать на их страницах Java-скрипты, позволяющие троянской программе загружаться на компьютеры. Заражая машину, Zlob меняет настройки браузера и DNS, оставляя ее открытой для атак, поэтому многие мелкие фирмочки (именно они страдают больше всех, потому что тратят на сетевую безопасность гроши) уже привыкли к тому, что их форумы постоянно загажены спамом и порнушными ссылками. Распространение троянской программы идет через серверы, расположенные в России и США, а название и стиль распространения напоминает те, которые использовала русско-украинская команда хакеров, создавшая "видео-троян", распространявшийся через Video ActiveX Object.
Источник: uinc.ru
среда, мая 14, 2008
IT-Безопасность: США выдвинули обвинения украинскому хакеру
Власти США обвинили украинского хакера Максима Ястремского в самой большой в мире краже номеров кредитных карточек.
Cуд Нью-Йорка 12 мая обвинил его и уроженца Эстонии Александра Суворова в сетевом мошенничестве, краже личных данным и попытке взлома компьютерной сети ресторанов Dave&Buster's в США.
По данным американских властей, благодаря специальному программному обеспечению злоумышленникам удалось заполучить номера кредитных карточек более чем пяти тысяч клиентов сети ресторанов. Именно этими кредитками посетители оплачивали покупки и услуги в заведениях.
Ястремский по прозвищу Максик и Суворов по прозвищу JonnyHell установили шпионскую программу, способную скачивать информацию с кредитной карточки, на компьютеры Dave&Buster's. Это позволило им с сентября 2007 года получить доступ к 5.100 кредитных карточек Visa и MasterCard и к 32 карточкам American Express.
За это время взломщики успели воспользоваться счетами 675 кредиток и потратить в общей сложности $600 тыс.
Правоохранители не сообщают, где сейчас находятся хакеры. Известно лишь, что оба мужчины ожидают экстрадиции в США, где предстанут перед судом.
Источник: korrespondent.net
вторник, мая 13, 2008
IT-Безопасность: Хакеры создали свою социальную сеть
Хакеры создали свою социальную сеть
В интернете появилась социальная сеть House of Hackers, объединяющая, как следует из названия, хакеров, пишет PC World. House of Hackers также предназначена для специалистов по интернет-безопасности.
Члены новой социальной сети используют слово "хакер" в его значении, не связанном с нелегальной деятельностью. Хакерами, в частности, называют программистов, находящих и реализующих оригинальные решения возникающих задач.
Ожидается, что участники сети будут делиться друг с другом идеями, объединяться в группы, кооперироваться вокруг проектов, предлагать и искать работу.
Организатором сети является сайт GNUCITIZEN, также объединяющий хакеров и IT-специалистов. Для создания сообщества был использован общедоступный сервис Ning, позволяющий конструировать самодельные социальные сети.
IT-Безопасность: Microsoft скрытно распространила инструмент для поиска нелегальных копий Windows Vista
Корпорация Microsoft начала распространение через систему Windows Update специализированного инструмента, позволяющего выявлять пиратские копии Windows Vista. Для обхода процедуры активации Windows Vista чаще всего используются хакерские средства Grace Timer и Paradox OEM BIOS. Крэк Grace Timer увеличивает отведенное на активацию операционной системы время до конца текущего столетия. Средства Paradox OEM BIOS, в свою очередь, вносят изменения в базовую систему ввода/вывода ПК (BIOS), заставляя Windows Vista поверить в то, что она поставлена фирмой-изготовителем комплектного оборудования (OEM). Инструменты для обнаружения средств обхода процесса активации уже встроены в первый сервис-пак для Windows Vista. Однако Microsoft, по всей видимости, решила перестраховаться и выпустила анти-хакерский модуль отдельно в виде апдейта, носящего статус важного. Этот апдейт доставляется на компьютеры с активированной системой автоматического получения обновлений. Кроме того, апдейт указывается в списке компонентов, доступных для загрузки вручную. В описании пользователю предлагается инсталлировать обновление для того, чтобы "система Windows Vista определяла ПО, которое обходит процедуру активации продукта и мешает нормальной работе Windows". Обозреватели отмечают, что при обнаружении средств Grace Timer или Paradox OEM BIOS анти-хакерский модуль Microsoft предлагает посетить специальную страницу с инструкциями по удалению вредоносного ПО. Однако если владелец компьютера отказывается от удаления крэков, Microsoft все равно их деактивирует. В результате, пользователю потребуется легальный ключ для активации операционной системы.
Источник: uinc.ru
IT-Безопасность: На Луганщине поймали хакера
Алчевский городской суд Луганской области приговорил 20-летнего местного жителя к двум годам лишения свободы за несанкционированное вмешательство в работу компьютера-сервера одного из провайдерских предприятий.
«Неработающий молодой человек в течение года досаждал своему интернет-провайдеру, вмешиваясь в его работу. Все это парень, по его словам, делал от безделья, но для провайдера подобные выходки создавали постоянные проблемы. Директор фирмы несколько раз грозил ему отключением и в конце концов свое обещание выполнил», - пояснила руководитель пресс-службы Управления СБУ в Луганской области Юлия Еременко
Конфликт разгорелся с новой силой после того, как на одном из виртуальных компьютерных форумов юноша столкнулся с директором провайдерской конторы, и тот, вероятно, памятуя прежние «заслуги» бывшего клиента, обозвал его «дауном». Стерпеть это ранимый молодой человек не мог. Он нашел вредоносную программу, взломал сервер компьютерной сети нелюбимого провайдера и устроил там разгром: удалил ссылки на ресурсы сети, а на месте стартовой страницы разместил непристойную картинку, скачанную из интернета, с издевательской надписью. Выявили мстителя очень быстро, пишет газета «Факты».
«С юридической точки зрения, действия парня являются несанкционированным вмешательством в работу электронно-вычислительных машин, которое привело к утрате и подделке компьютерной информации, - поясняет Юлия Еременко. - В отношении него было возбуждено уголовное дело. Мало того, по заключению судебной искусствоведческой экспертизы, изображение, выставленное злоумышленником на всеобщее обозрение, имеет порнографический характер. А распространение порнографии в нашей стране карается сроком до семи лет лишения свободы».
В итоге суд признал молодого человека виновным и приговорил его к двум годам ограничения свободы. Системный блок компьютера и программные средства, с помощью которых было осуществлено несанкционированное вмешательство, конфискованы.
Источник: ura.dn.ua
IT-Безопасность: Сервис Gmail может использоваться для организации массовых рассылок
Эксперты по вопросам компьютерной безопасности из группы Information Security Research Team (INSERT) предупреждают, что почтовая система Google Gmail теоретически может использоваться злоумышленниками с целью организации массовых рассылок нежелательных сообщений. Специалисты объясняют, что для фильтрации мусорных писем почтовые системы используют "черные" списки, в которые заносятся IP-адреса известных спамеров и сетевых узлов, рассылающих рекламу. Вместе с тем, между известными почтовыми службами, такими как Gmail, Yahoo Mail и Hotmail существует "доверительная иерархия", позволяющая сервисам без проблем обмениваться сообщениями друг с другом. Эксплуатируя особенности работы Gmail, эксперты смогли найти способ отправки с аккаунтов этого сервиса тысяч писем на адреса других систем электронной почты. Сотрудники Information Security Research Team подчеркивают, что фактически любой мошенник может превратить SMTP-серверы Gmail в спам-машину. При этом метод, найденный экспертами, позволяет обойти даже существующее ограничение на отправку не более чем 500 писем с одного аккаунта Gmail. Представители Google изыскания специалистов Information Security Research Team пока никак не прокомментировали. Нужно заметить, что антиспамерские сервисы уже начали блокировать некоторые аккаунты Gmail. Связано это с тем, что киберпреступникам удалось найти способ обхода системы CAPTCHA, применяющейся компанией Google для защиты от автоматических регистраций. В результате, с отдельных ящиков Gmail посыпались потоки нежелательных писем. Однако из-за блокировки отдельных серверов Gmail антиспамерскими сервисами до адресатов не доходят и некоторые вполне легальные сообщения.
Источник: uinc.ru
IT-Безопасность: "Рамблер" помогает Рунету бороться со спамом
"Рамблер" объявил об открытии официального публичного зеркала Spamhaus в России. Spamhaus поддерживает несколько специальных баз данных, которые позволяют защищать от спама более миллиарда почтовых ящиков по всему миру. Алексей Капранов, руководитель отдела почтовых систем «Рамблера»: «Основным источником современного email-спама являются так называемые ботнеты - сети обычных домашних или офисных компьютеров, заражённых специальными вирусами и троянами. Спамеры используют ботнеты для того, чтобы рассылать нежелательную корреспонденцию одновременно с десятков, а то и сотен тысяч компьютеров, расположенных по всему миру. Самым эффективным способом борьбы с таким спамом были и остаются постоянно пополняемые базы данных с адресами заражённых компьютеров». Для того чтобы обслуживать огромное количество запросов, Spamhaus размещает свои зеркала по всему миру. Теперь большая часть запросов из России перенаправляется на сервера «Рамблера». На данный момент наши сервера обслуживают около 3 тыс. запросов в секунду, при этом процент положительных ответов доходит до 50% - это означает, что с помощью сервиса Spamhaus можно отфильтровать значительную часть спама в интернете. Обновления базы данных приходят с главного сервера Spamhaus каждые несколько минут, что позволяет обеспечить эффективную защиту от спама для пользователей всех почтовых служб в нашей стране, которые используют базу Spamhaus. База Spamhaus XBL используется в качестве одного из многих этапов фильтрации "Рамблер"-почты и совместно с другими фильтрами защищает пользователей электронной почты «Рамблера» от спам-сообщений.
Источник: cnews.ru
суббота, мая 10, 2008
IT Безопасность: Процессорные руткиты - новая угроза безопасности?
Специалисты по ИТ-безопасности из компании Clear Hat Consulting разработали новый тип экспериментального вредоносного программного обеспечения, способного маскироваться под аппаратные команды комплектующих частей компьютера, например под команды центрального процессора компьютера. Такой метод сокрытия вредоносного ПО делает его практически неуязвимым для существующих антивирусов.
Созданный SMM-руткит (System Management Mode - Режим системного управления) работает только в защищенной части памяти компьютера, которая может быть закрытой и в процессе работы оставаться невидимой для операционной системы. Однако нахождение кода в этом сегменте памяти дает атакующему полную картину того, что происходит данный момент времени в оперативной памяти компьютера.
По словам Шона Эмбелтона и Шерри Спаркс, исследователей из Clear Hat Consulting создавших код, SMM-руткит имеет смысл оснащать функциями клавиатурного шпиона, оснащенного коммуникационными возможностями. При помощи такой связки ПО злоумышленник может похищать персональные данные с компьютера-жертвы.
В Clear Hat Consulting говорят, что концептуальный модуль, способный работать по описанным принципам, они покажут в августе этого года на ИТ-конференции Black Hat в Лас-Вегасе (Невада, США).
Разработчики говорят, что почти все руткиты, созданные за последнее время, прибегают к различным уловкам для того, чтобы избежать обнаружения в компьютерах, но большинство руткитов в любом случае работают в среде операционной системы, что позволяет обнаружить их антивирусными средствами, работающими в той же ОС. Однако в последние несколько месяцев исследователи заговорили о возможности создания злонамернного ПО, работающего "над ОС". Например, недавно был показан руткит BluePhil, использующий для маскировки серверную аппаратную технологию виртуализации AMD, Symantec сообщила об обнаружении злонамеренного ПО, прячущегося в загрузочном секторе компьютеров, а антивирусные компании одна за одной говорят о появлении новых троянов и вирусов, применяющих те или иные трюки с системами виртуализации, чтобы доставать данные из виртуализованных ОС.
"Руткиты все чаще обращаются к аппаратной части компьютеров и в этом есть своя логика, чем глубже в систему вы проникаете, тем больше возможностей получаете и тем сложнее вас становится обнаружить", - говорит Шерри Спаркс.
Он отмечает, что в отличие от кода BluePhil, использующего новые и малораспространенные системы виртуализации, их разработка использует систему SMM, которая существует в компьютерах со времен появления поздних 386-х процессоров. Режим системного управления SMM первоначально был создан компанией Intel для того, чтобы производители аппаратного обеспечения могли обнаруживать ошибки в работе своих продуктов при помощи программного обеспечения. Также эта технология используется для управления режимами работы компьютера, например для перевода системы в спящий режим.
По мнению Джона Хисмана, директора по новым технологиям в компании NGS Software, в том случае, если на Black Hat будет действительно показан работающий руткит, способный как-либо эмулировать режим SMM и эксплуатировать эту возможность в своих целях, то этот момент станет очередным витком в развитии вредоносного ПО, так как современные антивирусы просто не смогут обнаружить такой код.
"В 2006 году исследователь Люк Дюфо впервые представил небольшой перехватчик, способный работать с SMM, полностью обойдя все политики безопасности ОС. Мы взяли эту концепцию, развили и дополнили ее кодами, позволяющими осуществлять удаленное администрирование машиной", - рассказывает Эмбелтон.
Для того, чтобы руткит в режиме SMM действительно работал исследователям пришлось написать также и системный драйвер для него.
Однако авторы разработки говорят, что их система вряд ли получит глобальное распространение из-за слишком жесткой привязки к конкретному оборудованию, однако для ориентированных заказных взломов эта концепция вполне может быть использована.
Источник: cybersecurity.ru
среда, мая 07, 2008
IT-Безопасность: На руткит Rustock нашлась управа
Компания "Доктор Веб" выпустила новую версию сканера Dr.Web, способную, по утверждениям разработчика, не только обнаруживать руткит Win32.Ntldrbot (он же - Rustock.C), но и лечить зараженные им системные файлы. Руткит Rustock имеет три вариации - Rustock.A, Rustock.B и Rustock.C, последний из которых отличается повышенной зловредностью в том смысле, что своё присутствие в системе скрывает весьма умело и эффективно. Главное, чем данный бэкдор неприятен, так это тем, что заражённый компьютер Rustock/Ntldrbot превращает в спамбот, причём пользователь машины может об этом даже не подозревать. По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область "специализации" этой сети - ценные бумаги и фармацевтика. Найти Rustock.C не удавалось весьма продолжительное время, многие начали подозревать, что Rustock.C просто не существует. Однако в начале 2008 года аналитики "Доктор Веб" его всё-таки выявили, и на данный момент им удалось обнаружить около 600 экземпляров руткита. "Доктор Веб" приводит основные технические характеристики данного Rustock.C: во-первых, у него имеется мощный полиморфный протектор, затрудняющий анализ и распаковку руткита; во-вторых, руткит реализован в виде драйвера уровня ядра, работает на самом низком уровне и своего отдельного, даже скрытого, процесса не имеет. У вируса имеется функция самозащиты, позволяющая противодействовать модификации времени исполнения. Какой-либо отладке вирус противодействует: например, он контролирует установку DR-регистров, нарушает работу отладчиков уровня ядра, таких как Syser, SoftIce, а отладчик WinDbg при активном рутките не работает вообще. Работает как файловый вирус, заражая системные драйверы. Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет. Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит "путешествует" по системным драйверам, оставляя зараженным какой-нибудь один. Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного. От антируткитов защищается весьма и весьма успешно, чем его "невидимость" и объясняется. Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека и занимается рассылкой спама.
Источник: uinc.ru
IT-Безопасность: Оксфордский университет шпионит и штрафует студентов, используя информацию с Facebook
Когда речь заходит о цензуре в СМИ, а в частности в Интернете, то первым делом на ум приходит однозначная проблема с любителями малолетних и другие бесконечные криминальные возможности. Как один из способов борьбы, в социальных сетях YouTube, MySpace и Facebook появились специально обученные тролли- полицейские, перед которыми поставлена задача собирать информацию о незаконной деятельности, и отлавливать таких «людей», однако, оказывается, что некоторые университеты делают то же самое, хорошо это или плохо - вопрос риторический.
Согласно традиции, студенты, которые сдали все свои экзамены, опрыскивают друг друга шампанским, пеной, яйцами, мукой и т.д. Университет пытается обуздать студенческие праздники уже на протяжении десятилетий, но безрезультатно. В 2004 году ввели штраф в размере до £70 за “распыления жидкостей или бросание яиц”. Преподаватели полезли на Facebook и после нахождения многих таких случаев с фото и видео доказательствами смогли задержать всего 14 студентов, с которых взыскали штрафы.
Такая тактика борьбы вызвала раздражение у студентов, и они подняли волну, утверждая, что таким «бесчестным» образом, преподаватели вторгаются в их частную жизнь и нарушают их права, и многие СМИ тогда подхватили эту тему и новости разошлись по всему миру. Но это было чуть менее года назад, а несколько недель ситуация опять повторилась, но выпускники были уже оштрафованы более чем на £10000, что в пять раз больше, чем в прошлом году. Размер штрафов увеличился от £40 до £500.
Отвертеться у студентов не получается, так как уровень использования социальных сетей у троллей-преподов растет, и они уже отлично подкованы и ориентируются, и собранные доказательств железные.
Martin McCluskey, президент Студенческой Организации Оксфордского Университета, честно признает, что они не отказываются и не откажутся от этой традиции, и добавляет:
"Я не думаю, что люди реально понимают, насколько жесткими стали надзиратели с момента наступления этого периода. Нам грозит штраф, если мы даже просто откроем бутылку шампанского, сразу после нашего последнего экзамена – бред. Я уверен, все студенты от радости и счастья делают то же самое в любом университете по всей стране и во всем мире. И нигде нет штрафов такого размера."
Источник: socialtrend.ru
IT-Безопасность: Индию доканал китайский кибертерроризм
У Китая уже давно существует своя армия кибер-террористов, ведь в течение последних полутора лет эта страна предпринимает ежедневные атаки на индийские компьютерные сети, как государственные, так и личные, показывая свои возможности и частично осуществляя планы, — пишет The Times of India.
Постоянные атаки параллельны истории существующего политического напряжения между двумя странами и усиливаются в случае охлаждения отношений. Ссылаясь на источники во власти, издание утверждает, что эти удары не являются случаями обычного хакерства, они настолько изощренные и продуманные, что за этим чувствуется система.
Представители власти Индии во время официальных мероприятий пытаются избежать неловких вопросов, заявляя, что "кибер-терроризм — это обычная мировая практика" и не стоит удивляться множественным атакам, однако во время неформальных личных бесед признают, что угроза со стороны Китая более существенна, чем это может казаться со стороны. Главной проблемой происходящего является потеря не только частной пользовательской информации, но и закрытых государственных данных. Неизвестные злоумышленники порой даже могут выводить государственные системы из строя, что является серьезным киберпреступлением.
Источник: webplanet.ru