Виды вредоносных программ:
Вредоносная программное обеспечение – это такое программное обеспечение, использование которого наносит какой-либо вред пользователям. Данное понятие достаточно расплывчато, так как одним пользователям подобное программное обеспечение наносит вред, а другим приносит профит .
К примеру, вред кому угодно, может нанести и использование вполне официальных программ, предназначенных для выполнения полезных функций. Так, к примеру, программа удаления файлов с жесткого диска необходима в повседневной работе пользователей, однако в случае преднамеренного удаления ценных данных, способна нанести вред. Верно и обратное утверждение: множество программ, изначально разработа нных нашим собратом с целью нанесения им вреда, могут применяться админами для вполне полезных целей, например таких, как исследование уязвимостей компьютерных систем для противодействия злоумышленникам.
Следует учитывать, что вышеописанная классификация никаким образом не соотносится с мусорским понятием вредоносного ПО (см. зловред).
Именно поэтому, в этом объяснении, рассматривая вредоносное программное обеспечение, я буду уделять внимание тем его разновидностям, которые изначально разработаны и применяются для совершения какой-либо деятельности, направленной на получение барышей их операторами. Под операторами такого рода программного обеспечения я понимаю, как их авторов, так и пользователей, которые этот софт приобрели и используют.
В этой статье, наибольшее внимание я уделю программным средствам, предназначенным для хищения и вымогательства денежных средств пользователей.
Классы доступности вредоносного ПО:
По доступности, вредоносное программное обеспечение принято делить на три класса:
Пабликовый софт – программное обеспечение достаточно широко известное на рынке, как правило, широко используемое и доступное для покупки большинству желающих Зачастую такой софт можно скачать бесплатно.
Полуприватный софт – программное обеспечение, которое обсуждается только на полузакрытых форумах понятной тематики, продажа и использование такого софта строго ограничена людьми, имеющими определенную репутацию в сообществе.
Приватный софт – программное обеспечение, используемое узким кругом лиц и, как правило, недоступное для покупки. В исключительных случаях может продавать ся, но только лицам крайне близким к его владельцам, либо обладающим огромной репутацией в сообществе (на самых приватных форумах).
Как правило, пабликовый софт самый дешевый, либо и вовсе - бесплатный; приватный – самый дорогой. Это связано с тем, что круг покупателей пабликового софта куда шире, что позволяет автору продать значительно большее количество лицензий данного софта.
Приватный софт самый качественный. Это связано как с тем, что техническое задание для разработчика данного программного обеспечения максимально соответствует условиям планируемого использования программного обеспечения, так и с тем, что ввиду того, что пользователями подобных продуктов является крайне узкий круг лиц, такого рода программное обеспечение куда ниже подвержено анализу со стороны антивирусных компаний, служб информационной безопасности банков и прочих энтузиастов.
В ходе развития программного обеспечения один и тот же продукт может перемещаться из одной категории в другую. Например, банковский троян «Зевс» изначально был приватным продуктом, со временем стал пабликовым, либо ввиду очевидного желания автора увеличить продажи , либо ввиду большого колличества клиентов, часть которых вполне мога слить софт, подъебнув Славика.
Напротив, банковский троян «Carberp» начинал продаваться как полуприватный продукт, а затем стал приватным. Это связано как с опасениями автором уголовного преследования, в случае широкого распространения продукта, так и желанием автора значительно увеличить качество и цену продукта. В конечном итоге, после деанонимизации авторов сотрудниками украинских спецслужб, софт вовсе утек в паблик. Однако, те кто думают, что это конец истории - ошибаются. Налицо зловещая рекурсия
Следует заметить, что с точки зрения правохранительных органов, такая градация отсутствует - одинаковые анальные кары могут ожидать авторов и пользователей пабликового и приватного софта.
Типы вредоносного ПО:
Вредоносное программное обеспечение можно разбить на несколько типов по направлениям использования:
• Вирусы
• Сетевые черви
• Лоадеры и дропперы
• Бэкдоры
• Сокс-боты
• Программы-вымогатели (локкеры, енкрипторы итд)
• Банк-боты
• SEO-боты (подмена, ранжирование итд.)
• Спам и флуд -боты
• Майнинг-боты
• ИИ-сети и декрипт - боты
• DDos- боты
• Автоматизаторы хищений
• Чеккеры
• Прочее
Вирус – это компьютерная программа, делающая копии самой себя при помощи программы-владельца. Функции, которые выполняют вирусы, могут быть совершенно разными, основным отличием вирусов от других типов вредоносного ПО является размножение. Как правило, размножение происходит путем внедрения тела вируса во все исполняемые файлы на жестком диске компьютера, а также копирование автоматически запускаемого экземпляра вируса на сменные носители (функция usb spread). Как правило, задачами, которые выполняет вирус, являются различные деструктивные функции, однако возможно и их применения и для совершения хищений денежных средств. Тем не менее, для хищений применяются гибриды вирусов и формграбберов, и более подробно я расскажу о таком программном обеспечении в разделе, посвященном формграбберам.
Вирусы могут быть как очень простыми в разработке, так и очень сложными. Для написания вирусов применяются как языки программирования высокого уровня, так и языки программирования низкого уровня.
Известными вирусами являются Klez, Cih.xx, Roppox.
Сетевой червь – это компьютерная программа, делающая копии самой себя не прибегая к помощи каких-либо программ (программ-владельцев). В остальном действие и устройство сетевого червя схоже с действием вируса.
Наиболее интересными для нас являются многовекторные черви.
Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту, мессэнджеры, соц. сети, USB-спред и эксплойт ошибки в операционной системе.Черви позволяют добиться, как минимум трех результатов:
Увеличить колличество загрузок не используя drive-by аттаки
Распространиться по компьютерам ЛВС предприятия, к примеру, изначально попав на компьютер к какому-то глупому менеджеру, путем заражения файлов на расшаренных ресурсах сети, попасть на машины к бухам и руководству
Попасть на те целевые компы, интернет на которых отключен или сильно ограничен (посредством USB-спреда, либо, опять же инжекта в doc, xls, pdf и прочие файлы в сетевыцх шарах.)
В данный момент, учитывая огромные проблемы с пробивом со связок, такого рода распространение программного обеспечения становится актуальным до невозможности.
Лоадер – (от англ. load – грузить) программное обеспечение, используемое для управления процессом загрузки и запуска вредоносного программного обеспечения (payload - целевой нагрузки)на компьютер пользователя.
Дроппер - практически тоже самое, однако под дроппером, как правило, подразумевается миниатюрное по размеру (до 10-15кб) программное обеспечение, как правило предназначенное для скачивание существенно большего по объему основного модуля программного обеспечения.
Основной классификацией лоадеров является их деление на резидентные и неризидентные
Неризидентные лоадеры (дропперы) служат для скачивания и запуска программного обеспечения по заранее введенной ссылке, после чего самоуничтожаются из системы. В качестве примеров, можно привести Dloader, AnnLoader и прочие.
Резидентные лоадеры после запуска прописываются в автозагрузку/инжектируются в процессы, предоставляя возможность своим операторам в любое время подгружать необходимый софт. Помимо функций непосредственно загрузчика, такого рода программное обеспечение может иметь дополнительный функционал, реализуемый, как правило, в виде плагинов, такой как граббер паролей, сокс-бот, формграббер и прочее.
Основными качествами лоадера являются:
• небольшой размер исполняемого файла (в идеале не более 5 кб);
• сложность обнаружения следов функционирования вредоносной программы проактивными защитными механизмами антивирусного программного обеспечения;
• сложность обнаружения тела вредоносной программы методом эвристического анализа антивирусным программным обеспечением;
• отсутствие в составе программы динамических библиотек и расширенных инструкций Windows PE RT, затрудняющих криптование исполняемого файла лоадера;
• простота и эффективность криптования исполняемого файла, затрудняющего обнаружение вредоносного кода антивирусным программным обеспечением методом анализа сигнатур;
• наличие функции бесследного самоуничтожения из системы владельца;
• возможность гибкой настройки заданий, включая скачивание и запуск файлов по расписанию, запуск файлов только на определенных операционных системах с определенным набором программного обеспечения, запуск файлов только на компьютерах, расположенных в заданных географических регионах, а также запуск на основе других критериев.
Дополнительными качествами, которыми могут обладать высококлассные лоадеры являются:
• наличие технологий обхода фильтрации пакетов;
• поддержка пирингового протокола (P2P) скачивания и сохранения файлов;
• автоматическая проверка запускаемых файлов по базам данных вирусных сигнатур и незамедлительная приостановка задания в случае, если сигнатура файла скомпрометирована:
• наличие сплоитов уровня ядра операционной системы для подъема привилегий процесса лоадера до ring0, соответствующему «Local System» в системах семейства Windows NT;
• запуск процесса скаченного файла на уровне системного драйвера;
• наличие в составе лоадера буткита;
• создание лоадером в системе скрытого шифрованного раздела жесткого диска, в который происходит скачивание и установка заданных файлов, данный метод позволяет скачивать и запускать файлы, полностью минуя их анализ антивирусным программным обеспечением;
• поддержка узловой структуры управления на основе TOR протокола
и другие.
Как правило, лоадеры обладающие подобным набором качеств, представляют собой очень сложное с технической точки зрения программное обеспечение. Непосредственно сам исполняемый файл такого рода лоадера, как правило, пишется на ассемблере, причем используются не только векторы прерываний API операционной системы, но и прерывания BIOS и физических устройств компьютера. Время, затраченное на разработку программного продукта, удовлетворяющего всем этим качествам, может составлять более не один год. По этой причине цена таких программ может доходить до десятков тысяч долларов. Более того, наиболее качественные продукты используются узким кругом лиц и их приобретение возможно только при наличии длительных партнерских отношений с их авторами либо их партнерами.
Что касается дополнительных функций, бантиков и рюшечек, оптимизирующих задания, а также функций вывода статистической информации, они достаточно просто реализуются, однако зачастую не используются квалифицированными операторами.
Помимо загрузки вредоносного программного обеспечения, лоадеры используются «продавцами загрузок», т.е. сервисами, которые за фиксированную цену предоставляют услугу по запуску требуемого клиентами программного обеспечения на оговоренном количестве компьютеров. Как правило, нечистые на руку «продавцы загрузок» загружают на одни и те же компьютеры программное обеспечение разных клиентов, что в итоге приводит к быстрой компрометации присутствия вредоносного кода в системах пользователей.
Наиболее популярные лоадеры (которые можно приобрести в паблике и полупривате) вышеописанной категории - Andromeda, Smoke, Trend DNS Changer (хотя последний, назвать просто лоадером уже тяжеловато).
Бэкдор – вредоносное программное обеспечение, основной задачей которого является предоставление злоумышленнику удаленного доступа к зараженному компьютеру. Характерной особенностью бэкдора является наличие функции бэкконекта.
Бэкконект – это функциональная особенность вредоносной программы сразу после запуска отправлять пакеты информации на заранее указанный при ее создании IP адрес или домен. Эта особенность позволяет получать доступ к компьютерам, не имеющим реального IP-адреса, т.е. к тем компьютерам, доступ в интернет которых получается путем трансляции IP-адресов (NAT).
Как правило, среди функций бэкдора имеется полноценный файловый менеджер, позволяющий просматривать, копировать и удалять файлы на компьютере пользователя, кейлоггер, просмотр экрана пользователя в режиме реального времени, просмотр web-камеры пользователя в режиме реального времени, прослушивание микрофона пользователя в режиме реального времени, удаленный терминал и многое другое.
Бэкдоры достаточно применяются нашим братом для хищения денежных средств и ценной информации.
Основными достоинствами бэкдоров являются:
• простота установки использования по сравнению с троянскими программами (банк-ботами);
• широкие функциональные возможности манипулирования удаленным компьютером;
• доступность такого программного обеспечения.
Наряду с преимуществами, этот тип вредоносных программ обладает и существенными недостатками:
• как правило, большой размер исполняемого файла, содержащего бэкдор;
• невозможность, либо сложность использования бэкдора для заражения большого числа компьютеров;
• отсутствие функций автоматизации задач;
• отсутствие специализированных модулей, отсутствие возможностей инжектирования, предназначенных для хищения средств с банковских счетов;
• отсутствие средств повышения привилегий, сплоитов, буткитов и руткитов.
Именно ввиду наличия указанных выше свойств, бэкдоры, как правило применяются для точечных атак на компьютеры пользователей. В качестве примера можно привести следующую гипотетическую возможность применения бэкдора:
Потенциальный злоумышленник узнает телефон организации, со счета которой он планирует похитить денежные средства. Он звонит по телефону и просит соединить его с главным бухгалтером. Далее, злоумышленник представляется сотрудником, какой - либо компании-контрагента организации, в которую он звонит. Он просит бухгалтера сообщить ему свой адрес электронной почты под предлогом необходимости провести сверку в каких-либо учетных документах. Получив адрес электронной почты, злоумышленник просит бухгалтера внимательно изучить отправленные им документы. Вместо документов злоумышленник отправляет по электронной почте программу бэкдор (либо специально подготовленные документы, которые запускают бэкдор). Бухгалтер организации, по просьбе злоумышленника запускает эту программу, полагая, что электронное письмо содержит необходимые, злоумышленник получает практически полный доступ к компьютеру главного бухгалтера компании.
Вторым, наиболее распространенным способом внедрения бэкдора на целевой компьютер, является запуск программы бэкдора на необходимом компьютере каким-либо сотрудником организации (инсайдером), вступившим в сговор, либо обманутым/разведенным пользователем бэкдора.
Насколько я могу судить, хищения таким способом имеют место быть, однако этот способ больше используется новичками в единичных случаях Хотя следует отметить, что зачастую, тчательно проведенные точечные аттаки на очень крупные организации осуществляются при применении именно описываемого программного обеспечения.
Бэкдоры, в большинстве своем, относятся к программному обеспечению невысокой степени сложности, как правило, языки программирования, на которых написано подобное программное обеспечение – C++, Delphi, Vb и другие.
Наиболее распространенными бэкдорами являются «Poison Ivi», «Darkkomet RAT», «Shwarzsonne» и другие. Цены на бэкдоры на начинаются с десятков долларов, почему-то широкое распространение получили бэкдоры турецких авторов.
Socks-боты – это специальное программное обеспечение, предназначенное для реализации запуска демонов socks и proxy серверов на зараженных компьютерах пользователей.
Socks-сервер – это специальное программное обеспечение, используемое в качестве посредника между всеми приложениями, запущенными на компьютере пользователя и веб-серверами, находящимися в сети интернет. Таким образом, socks является шлюзом, через который проходят все данные, отправляемые и получаемые пользователем из сети интернет.
Одной из разновидностей Socks-серверов в широком смысле слова являются прокси-серверы. Прокси-сервером называется компьютерная программа, используемая в качестве посредника между веб-браузером пользователя и веб-сервером, находящимся в сети интернет.
Socks-серверы широко востребованы нашим братом. Они используются для сокрытия своего IP-адреса при совершении не вполне легальных действих, начиная от просмотра порно, заканчивая хищением средств. Также одна из сфер применения socks-серверов – это различные чеккеры и прочее программное обеспечение, которому необходимо создавать иллюзию доступа к серверу с различных компьютеров реальных пользователей, воизбежании бана по IP.
Отдельного внимания заслуживает применение Socks-серверов при совершении хищений средств корпоративных клиентов через системы ДБО. В этом случае, применение Socks-сервера, запущенного на одном из компьютеров организации, которая является жертвой хищения, позволяет произвести доступ к системе ДБО с IP-адреса организации. Тем самым, во-первых, снижается вероятность возникновения подозрений со стороны банка, связанных с нетипичным IP-адресом клиента, во-вторых, при расследовании хищения совершенного таким образом, в первую очередь подозрение падает на сотрудников организации, что само собой неимоверно выгодно (пока мусора пытают бухгалтера паяльной лампой, мы кардим билет в теплую страну и сваливаем ). Именно по этой причине функцией socks-ботов оснащены практически все известные мне банковские трояны. Следует заметить, что разработчики банковского программного обеспечения с каждым годом умнеют, что вынуждает нашего брата использовать скрытые VNC и RDP решения (о которых я опишу ниже), а использование соксов для этих целей становиться архаичным.
Одной из возможных функций, которая может быть представлена в socks-боте, является функция автоматического обновления информации в веб-панели, посредством которой предлагается доступ к socks-серверам. Такой функцией пользуются продавцы сервисов socks-серверов, то есть лица, которые продают доступ к Socks-серверам за деньги.
Одним из наиболее известных socks-ботов является soxer. Мне не известна его цена, однако я полагаю, что она не превышает 800 долларов США. Также, насколько я знаю, существует множество приватных решений программного обеспечения данного типа, однако информацией о них я не располагаю, либо не готов делиться .
Программы-вымогатели – это класс вредоносного программного обеспечения, которое, как очевидно из названия, предназначено для вымогательства денежных средств у пользователей зараженных компьютеров за какое-либо действие.
В широком понимании, к такому программному обеспечению можно отнести и программное обеспечение, выполняющее следующий набор функций:
Анализ документов на компьютере пользователя, анализ посещенных пользователем веб-сайт ов, содержимого переписки пользователя и прочей информации и на основе этого, согласно заданным критериям, выполняющее ранжирование пользователя в какую-либо группу, отношение к которой в обществе, либо в какой-то его части, крайне негативно. Такими группами могут быть представители нетрадиционной секс уальной ориентации, любители детской порнографии, приверженцы экстремистских политических взглядов и прочие.
В качестве иллюстрации принципа работы такой программы, рассмотрим следующий пример:
Программа, согласно заранее составленному списку интернет-адресов сайтов, часто посещаемых лицами, которые увлекаются просмотром детской порнографии, отбирает из общего количества зараженных компьютеров те, пользователи которых в течении последнего времени систематически посещали подобные сайты. Далее программное обеспечение анализирует переписку и другие текстовые документы пользователя, на предмет наличия контрольных слов и фраз, свойственных описанию сцен детского порно, распространению этих сцен. Затем анализируются фото и видео материалы, содержащиеся на компьютере пользователя на предмет наличия сцен порнографического характера. Вся информация, которая попадает под заданные критерии, копируется. Также проводится фиксация наличия этой информации на компьютере пользователя, выполняются действия, препятствующие бесследному удалению этой информации. Все также автоматически собирается информация о пользователе, исходя из используемых им профилей в социальных сетях, переписки. На основе IP-адреса устанавливается местоположение данного пользователя. Затем, данному пользователю, по одному из доступных каналов связи, отправляется сообщение, что в случае если он не заплатит указанную сумму, вся собранная информация будет предана широкой огласке, используя, в частности рассылкой по адресам электронной почты его корреспондентов, его «друзей» в социальных сетях и прочее. Вероятнее всего пользователь будет готов заплатить значительную сумму средств, однако сохранить в тайне свои пристрастия, идущие в разрез не только с моралью, но и с законом.
Однако, под троянами-вымогателями, обычно понимают значительно более простое программное обеспечение двух основных видов:
• программы-блокировщики – локкеры
• программы шифровщики – энкодеры
Локкер - представляет собой вредоносное программное обеспечение, блокирующее работу компьютера. Название происходит от английского слова «Lock» – блокировать. Как правило, подобного рода программное обеспечение блокирует работу компьютеров путем вывода на большую часть экрана изображений непристойного характера. Основными «сюжетами» таких изображений служат порнографические сцены. Расчет идет на то, что пользователю будет стыдно, если кто-либо из его коллег по работе, родственников или друзей увидит подобные изображения.
Текст, находящийся рядом с изображением определяет порядок действий, который необходимо выполнить пользователю за избавление от изображения и продолжение работы компьютера в нормальном режиме. Суть этих действий сводится либо к пополнению счета указанного оператором софта номера телефона на указанную сумму, либо к переводу указанной суммы на электронный кошелек, либо к покупке ваучеров Ukash и иже с ними. После этого пойманному за жопу дрочеру требуется сообщить код, указанный на чеке, распечатанном терминалом, в котором проводилась оплата.
Штатными средствами, как правило, избавиться от изображения и продолжить пользоваться компьютером среднему пользователю, ввиду отсутствия ума, не под силу.
Как правило, после выполнения всех требуемых действий, изображение с экрана компьютера все равно не пропадает, и пользоваться компьютером по-прежнему невозможно. Это связано с тем, нам не выгодно разблокировать компьютер пользователя, ввиду того, что многие дрочеры производят оплату повторно, что конечно не может быть убыточно для нашего брата.
Энкодер - программа шифратор, представляет собой вредоносное программное обеспечение, которое осуществляет поиск на жестком диске компьютера всех файлов, содержащих документы и изображения, а затем зашифровывает их по какому-либо криптографическому алгоритму. Не зная ключ шифрования, произвести расшифровку файлов практически невозможно. Причем независимо от квалификации пользователя. В начале каждого текстового файла появляется надпись, содержащая инструкции по расшифровке документов пользователя.
Суть инструкции сводится также либо к пополнению счета указанного номера телефона на указанную сумму, либо к переводу указанной суммы на электронный кошелек. После этого пользователю требуется сообщить код, указанный на чеке, распечатанном терминалом, в котором проводилась оплата.
Данный вид троянов-вымогателей несколько эффективней, чем описанный выше, т.к. документы пользователя могут быть потеряны без возможности восстановления, а пользователю от этого точно не по себе.
Принцип работы описанного выше программного обеспечения достаточно прост. В первом случае резидентный процесс локкера блокирует все хэндлы операционной системы, включая терминальный, что делает невозможным, в частности, завершение процесса локкера. Исполняемый файл локкера записывается в различные места реестра операционной системы для автоматического запуска вредоносного кода вне зависимости то режима загрузки операционной системы (наиболее изящный вариант, так воовсе - в буткит, который грузиться раньше ОС).
Во втором случае, выполняется функция симметричного шифрования с заменой исходных файлов зашифрованными.
Данный тип программного обеспечения является достаточным простым в реализации даже для неопытных программистов (я не говорю про продвинутый софт, just базовый). Практически всегда для написания программ-вымогателей используются объектные языки высоко уровня, такие как C/C++, Delphy,Vb и прочие.
Средние рыночные цены на такие программы составляют 100-несколько К долларов.
Программы-блокираторы – очень динамично изменяющееся программное обеспечение, поэтому обозначить какие-то конкретные названия не представляется возможным.
Вредоносная программное обеспечение – это такое программное обеспечение, использование которого наносит какой-либо вред пользователям. Данное понятие достаточно расплывчато, так как одним пользователям подобное программное обеспечение наносит вред, а другим приносит профит .
К примеру, вред кому угодно, может нанести и использование вполне официальных программ, предназначенных для выполнения полезных функций. Так, к примеру, программа удаления файлов с жесткого диска необходима в повседневной работе пользователей, однако в случае преднамеренного удаления ценных данных, способна нанести вред. Верно и обратное утверждение: множество программ, изначально разработа нных нашим собратом с целью нанесения им вреда, могут применяться админами для вполне полезных целей, например таких, как исследование уязвимостей компьютерных систем для противодействия злоумышленникам.
Следует учитывать, что вышеописанная классификация никаким образом не соотносится с мусорским понятием вредоносного ПО (см. зловред).
Именно поэтому, в этом объяснении, рассматривая вредоносное программное обеспечение, я буду уделять внимание тем его разновидностям, которые изначально разработаны и применяются для совершения какой-либо деятельности, направленной на получение барышей их операторами. Под операторами такого рода программного обеспечения я понимаю, как их авторов, так и пользователей, которые этот софт приобрели и используют.
В этой статье, наибольшее внимание я уделю программным средствам, предназначенным для хищения и вымогательства денежных средств пользователей.
Классы доступности вредоносного ПО:
По доступности, вредоносное программное обеспечение принято делить на три класса:
Пабликовый софт – программное обеспечение достаточно широко известное на рынке, как правило, широко используемое и доступное для покупки большинству желающих Зачастую такой софт можно скачать бесплатно.
Полуприватный софт – программное обеспечение, которое обсуждается только на полузакрытых форумах понятной тематики, продажа и использование такого софта строго ограничена людьми, имеющими определенную репутацию в сообществе.
Приватный софт – программное обеспечение, используемое узким кругом лиц и, как правило, недоступное для покупки. В исключительных случаях может продавать ся, но только лицам крайне близким к его владельцам, либо обладающим огромной репутацией в сообществе (на самых приватных форумах).
Как правило, пабликовый софт самый дешевый, либо и вовсе - бесплатный; приватный – самый дорогой. Это связано с тем, что круг покупателей пабликового софта куда шире, что позволяет автору продать значительно большее количество лицензий данного софта.
Приватный софт самый качественный. Это связано как с тем, что техническое задание для разработчика данного программного обеспечения максимально соответствует условиям планируемого использования программного обеспечения, так и с тем, что ввиду того, что пользователями подобных продуктов является крайне узкий круг лиц, такого рода программное обеспечение куда ниже подвержено анализу со стороны антивирусных компаний, служб информационной безопасности банков и прочих энтузиастов.
В ходе развития программного обеспечения один и тот же продукт может перемещаться из одной категории в другую. Например, банковский троян «Зевс» изначально был приватным продуктом, со временем стал пабликовым, либо ввиду очевидного желания автора увеличить продажи , либо ввиду большого колличества клиентов, часть которых вполне мога слить софт, подъебнув Славика.
Напротив, банковский троян «Carberp» начинал продаваться как полуприватный продукт, а затем стал приватным. Это связано как с опасениями автором уголовного преследования, в случае широкого распространения продукта, так и желанием автора значительно увеличить качество и цену продукта. В конечном итоге, после деанонимизации авторов сотрудниками украинских спецслужб, софт вовсе утек в паблик. Однако, те кто думают, что это конец истории - ошибаются. Налицо зловещая рекурсия
Следует заметить, что с точки зрения правохранительных органов, такая градация отсутствует - одинаковые анальные кары могут ожидать авторов и пользователей пабликового и приватного софта.
Типы вредоносного ПО:
Вредоносное программное обеспечение можно разбить на несколько типов по направлениям использования:
• Вирусы
• Сетевые черви
• Лоадеры и дропперы
• Бэкдоры
• Сокс-боты
• Программы-вымогатели (локкеры, енкрипторы итд)
• Банк-боты
• SEO-боты (подмена, ранжирование итд.)
• Спам и флуд -боты
• Майнинг-боты
• ИИ-сети и декрипт - боты
• DDos- боты
• Автоматизаторы хищений
• Чеккеры
• Прочее
Вирус – это компьютерная программа, делающая копии самой себя при помощи программы-владельца. Функции, которые выполняют вирусы, могут быть совершенно разными, основным отличием вирусов от других типов вредоносного ПО является размножение. Как правило, размножение происходит путем внедрения тела вируса во все исполняемые файлы на жестком диске компьютера, а также копирование автоматически запускаемого экземпляра вируса на сменные носители (функция usb spread). Как правило, задачами, которые выполняет вирус, являются различные деструктивные функции, однако возможно и их применения и для совершения хищений денежных средств. Тем не менее, для хищений применяются гибриды вирусов и формграбберов, и более подробно я расскажу о таком программном обеспечении в разделе, посвященном формграбберам.
Вирусы могут быть как очень простыми в разработке, так и очень сложными. Для написания вирусов применяются как языки программирования высокого уровня, так и языки программирования низкого уровня.
Известными вирусами являются Klez, Cih.xx, Roppox.
Сетевой червь – это компьютерная программа, делающая копии самой себя не прибегая к помощи каких-либо программ (программ-владельцев). В остальном действие и устройство сетевого червя схоже с действием вируса.
Наиболее интересными для нас являются многовекторные черви.
Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту, мессэнджеры, соц. сети, USB-спред и эксплойт ошибки в операционной системе.Черви позволяют добиться, как минимум трех результатов:
Увеличить колличество загрузок не используя drive-by аттаки
Распространиться по компьютерам ЛВС предприятия, к примеру, изначально попав на компьютер к какому-то глупому менеджеру, путем заражения файлов на расшаренных ресурсах сети, попасть на машины к бухам и руководству
Попасть на те целевые компы, интернет на которых отключен или сильно ограничен (посредством USB-спреда, либо, опять же инжекта в doc, xls, pdf и прочие файлы в сетевыцх шарах.)
В данный момент, учитывая огромные проблемы с пробивом со связок, такого рода распространение программного обеспечения становится актуальным до невозможности.
Лоадер – (от англ. load – грузить) программное обеспечение, используемое для управления процессом загрузки и запуска вредоносного программного обеспечения (payload - целевой нагрузки)на компьютер пользователя.
Дроппер - практически тоже самое, однако под дроппером, как правило, подразумевается миниатюрное по размеру (до 10-15кб) программное обеспечение, как правило предназначенное для скачивание существенно большего по объему основного модуля программного обеспечения.
Основной классификацией лоадеров является их деление на резидентные и неризидентные
Неризидентные лоадеры (дропперы) служат для скачивания и запуска программного обеспечения по заранее введенной ссылке, после чего самоуничтожаются из системы. В качестве примеров, можно привести Dloader, AnnLoader и прочие.
Резидентные лоадеры после запуска прописываются в автозагрузку/инжектируются в процессы, предоставляя возможность своим операторам в любое время подгружать необходимый софт. Помимо функций непосредственно загрузчика, такого рода программное обеспечение может иметь дополнительный функционал, реализуемый, как правило, в виде плагинов, такой как граббер паролей, сокс-бот, формграббер и прочее.
Основными качествами лоадера являются:
• небольшой размер исполняемого файла (в идеале не более 5 кб);
• сложность обнаружения следов функционирования вредоносной программы проактивными защитными механизмами антивирусного программного обеспечения;
• сложность обнаружения тела вредоносной программы методом эвристического анализа антивирусным программным обеспечением;
• отсутствие в составе программы динамических библиотек и расширенных инструкций Windows PE RT, затрудняющих криптование исполняемого файла лоадера;
• простота и эффективность криптования исполняемого файла, затрудняющего обнаружение вредоносного кода антивирусным программным обеспечением методом анализа сигнатур;
• наличие функции бесследного самоуничтожения из системы владельца;
• возможность гибкой настройки заданий, включая скачивание и запуск файлов по расписанию, запуск файлов только на определенных операционных системах с определенным набором программного обеспечения, запуск файлов только на компьютерах, расположенных в заданных географических регионах, а также запуск на основе других критериев.
Дополнительными качествами, которыми могут обладать высококлассные лоадеры являются:
• наличие технологий обхода фильтрации пакетов;
• поддержка пирингового протокола (P2P) скачивания и сохранения файлов;
• автоматическая проверка запускаемых файлов по базам данных вирусных сигнатур и незамедлительная приостановка задания в случае, если сигнатура файла скомпрометирована:
• наличие сплоитов уровня ядра операционной системы для подъема привилегий процесса лоадера до ring0, соответствующему «Local System» в системах семейства Windows NT;
• запуск процесса скаченного файла на уровне системного драйвера;
• наличие в составе лоадера буткита;
• создание лоадером в системе скрытого шифрованного раздела жесткого диска, в который происходит скачивание и установка заданных файлов, данный метод позволяет скачивать и запускать файлы, полностью минуя их анализ антивирусным программным обеспечением;
• поддержка узловой структуры управления на основе TOR протокола
и другие.
Как правило, лоадеры обладающие подобным набором качеств, представляют собой очень сложное с технической точки зрения программное обеспечение. Непосредственно сам исполняемый файл такого рода лоадера, как правило, пишется на ассемблере, причем используются не только векторы прерываний API операционной системы, но и прерывания BIOS и физических устройств компьютера. Время, затраченное на разработку программного продукта, удовлетворяющего всем этим качествам, может составлять более не один год. По этой причине цена таких программ может доходить до десятков тысяч долларов. Более того, наиболее качественные продукты используются узким кругом лиц и их приобретение возможно только при наличии длительных партнерских отношений с их авторами либо их партнерами.
Что касается дополнительных функций, бантиков и рюшечек, оптимизирующих задания, а также функций вывода статистической информации, они достаточно просто реализуются, однако зачастую не используются квалифицированными операторами.
Помимо загрузки вредоносного программного обеспечения, лоадеры используются «продавцами загрузок», т.е. сервисами, которые за фиксированную цену предоставляют услугу по запуску требуемого клиентами программного обеспечения на оговоренном количестве компьютеров. Как правило, нечистые на руку «продавцы загрузок» загружают на одни и те же компьютеры программное обеспечение разных клиентов, что в итоге приводит к быстрой компрометации присутствия вредоносного кода в системах пользователей.
Наиболее популярные лоадеры (которые можно приобрести в паблике и полупривате) вышеописанной категории - Andromeda, Smoke, Trend DNS Changer (хотя последний, назвать просто лоадером уже тяжеловато).
Бэкдор – вредоносное программное обеспечение, основной задачей которого является предоставление злоумышленнику удаленного доступа к зараженному компьютеру. Характерной особенностью бэкдора является наличие функции бэкконекта.
Бэкконект – это функциональная особенность вредоносной программы сразу после запуска отправлять пакеты информации на заранее указанный при ее создании IP адрес или домен. Эта особенность позволяет получать доступ к компьютерам, не имеющим реального IP-адреса, т.е. к тем компьютерам, доступ в интернет которых получается путем трансляции IP-адресов (NAT).
Как правило, среди функций бэкдора имеется полноценный файловый менеджер, позволяющий просматривать, копировать и удалять файлы на компьютере пользователя, кейлоггер, просмотр экрана пользователя в режиме реального времени, просмотр web-камеры пользователя в режиме реального времени, прослушивание микрофона пользователя в режиме реального времени, удаленный терминал и многое другое.
Бэкдоры достаточно применяются нашим братом для хищения денежных средств и ценной информации.
Основными достоинствами бэкдоров являются:
• простота установки использования по сравнению с троянскими программами (банк-ботами);
• широкие функциональные возможности манипулирования удаленным компьютером;
• доступность такого программного обеспечения.
Наряду с преимуществами, этот тип вредоносных программ обладает и существенными недостатками:
• как правило, большой размер исполняемого файла, содержащего бэкдор;
• невозможность, либо сложность использования бэкдора для заражения большого числа компьютеров;
• отсутствие функций автоматизации задач;
• отсутствие специализированных модулей, отсутствие возможностей инжектирования, предназначенных для хищения средств с банковских счетов;
• отсутствие средств повышения привилегий, сплоитов, буткитов и руткитов.
Именно ввиду наличия указанных выше свойств, бэкдоры, как правило применяются для точечных атак на компьютеры пользователей. В качестве примера можно привести следующую гипотетическую возможность применения бэкдора:
Потенциальный злоумышленник узнает телефон организации, со счета которой он планирует похитить денежные средства. Он звонит по телефону и просит соединить его с главным бухгалтером. Далее, злоумышленник представляется сотрудником, какой - либо компании-контрагента организации, в которую он звонит. Он просит бухгалтера сообщить ему свой адрес электронной почты под предлогом необходимости провести сверку в каких-либо учетных документах. Получив адрес электронной почты, злоумышленник просит бухгалтера внимательно изучить отправленные им документы. Вместо документов злоумышленник отправляет по электронной почте программу бэкдор (либо специально подготовленные документы, которые запускают бэкдор). Бухгалтер организации, по просьбе злоумышленника запускает эту программу, полагая, что электронное письмо содержит необходимые, злоумышленник получает практически полный доступ к компьютеру главного бухгалтера компании.
Вторым, наиболее распространенным способом внедрения бэкдора на целевой компьютер, является запуск программы бэкдора на необходимом компьютере каким-либо сотрудником организации (инсайдером), вступившим в сговор, либо обманутым/разведенным пользователем бэкдора.
Насколько я могу судить, хищения таким способом имеют место быть, однако этот способ больше используется новичками в единичных случаях Хотя следует отметить, что зачастую, тчательно проведенные точечные аттаки на очень крупные организации осуществляются при применении именно описываемого программного обеспечения.
Бэкдоры, в большинстве своем, относятся к программному обеспечению невысокой степени сложности, как правило, языки программирования, на которых написано подобное программное обеспечение – C++, Delphi, Vb и другие.
Наиболее распространенными бэкдорами являются «Poison Ivi», «Darkkomet RAT», «Shwarzsonne» и другие. Цены на бэкдоры на начинаются с десятков долларов, почему-то широкое распространение получили бэкдоры турецких авторов.
Socks-боты – это специальное программное обеспечение, предназначенное для реализации запуска демонов socks и proxy серверов на зараженных компьютерах пользователей.
Socks-сервер – это специальное программное обеспечение, используемое в качестве посредника между всеми приложениями, запущенными на компьютере пользователя и веб-серверами, находящимися в сети интернет. Таким образом, socks является шлюзом, через который проходят все данные, отправляемые и получаемые пользователем из сети интернет.
Одной из разновидностей Socks-серверов в широком смысле слова являются прокси-серверы. Прокси-сервером называется компьютерная программа, используемая в качестве посредника между веб-браузером пользователя и веб-сервером, находящимся в сети интернет.
Socks-серверы широко востребованы нашим братом. Они используются для сокрытия своего IP-адреса при совершении не вполне легальных действих, начиная от просмотра порно, заканчивая хищением средств. Также одна из сфер применения socks-серверов – это различные чеккеры и прочее программное обеспечение, которому необходимо создавать иллюзию доступа к серверу с различных компьютеров реальных пользователей, воизбежании бана по IP.
Отдельного внимания заслуживает применение Socks-серверов при совершении хищений средств корпоративных клиентов через системы ДБО. В этом случае, применение Socks-сервера, запущенного на одном из компьютеров организации, которая является жертвой хищения, позволяет произвести доступ к системе ДБО с IP-адреса организации. Тем самым, во-первых, снижается вероятность возникновения подозрений со стороны банка, связанных с нетипичным IP-адресом клиента, во-вторых, при расследовании хищения совершенного таким образом, в первую очередь подозрение падает на сотрудников организации, что само собой неимоверно выгодно (пока мусора пытают бухгалтера паяльной лампой, мы кардим билет в теплую страну и сваливаем ). Именно по этой причине функцией socks-ботов оснащены практически все известные мне банковские трояны. Следует заметить, что разработчики банковского программного обеспечения с каждым годом умнеют, что вынуждает нашего брата использовать скрытые VNC и RDP решения (о которых я опишу ниже), а использование соксов для этих целей становиться архаичным.
Одной из возможных функций, которая может быть представлена в socks-боте, является функция автоматического обновления информации в веб-панели, посредством которой предлагается доступ к socks-серверам. Такой функцией пользуются продавцы сервисов socks-серверов, то есть лица, которые продают доступ к Socks-серверам за деньги.
Одним из наиболее известных socks-ботов является soxer. Мне не известна его цена, однако я полагаю, что она не превышает 800 долларов США. Также, насколько я знаю, существует множество приватных решений программного обеспечения данного типа, однако информацией о них я не располагаю, либо не готов делиться .
Программы-вымогатели – это класс вредоносного программного обеспечения, которое, как очевидно из названия, предназначено для вымогательства денежных средств у пользователей зараженных компьютеров за какое-либо действие.
В широком понимании, к такому программному обеспечению можно отнести и программное обеспечение, выполняющее следующий набор функций:
Анализ документов на компьютере пользователя, анализ посещенных пользователем веб-сайт ов, содержимого переписки пользователя и прочей информации и на основе этого, согласно заданным критериям, выполняющее ранжирование пользователя в какую-либо группу, отношение к которой в обществе, либо в какой-то его части, крайне негативно. Такими группами могут быть представители нетрадиционной секс уальной ориентации, любители детской порнографии, приверженцы экстремистских политических взглядов и прочие.
В качестве иллюстрации принципа работы такой программы, рассмотрим следующий пример:
Программа, согласно заранее составленному списку интернет-адресов сайтов, часто посещаемых лицами, которые увлекаются просмотром детской порнографии, отбирает из общего количества зараженных компьютеров те, пользователи которых в течении последнего времени систематически посещали подобные сайты. Далее программное обеспечение анализирует переписку и другие текстовые документы пользователя, на предмет наличия контрольных слов и фраз, свойственных описанию сцен детского порно, распространению этих сцен. Затем анализируются фото и видео материалы, содержащиеся на компьютере пользователя на предмет наличия сцен порнографического характера. Вся информация, которая попадает под заданные критерии, копируется. Также проводится фиксация наличия этой информации на компьютере пользователя, выполняются действия, препятствующие бесследному удалению этой информации. Все также автоматически собирается информация о пользователе, исходя из используемых им профилей в социальных сетях, переписки. На основе IP-адреса устанавливается местоположение данного пользователя. Затем, данному пользователю, по одному из доступных каналов связи, отправляется сообщение, что в случае если он не заплатит указанную сумму, вся собранная информация будет предана широкой огласке, используя, в частности рассылкой по адресам электронной почты его корреспондентов, его «друзей» в социальных сетях и прочее. Вероятнее всего пользователь будет готов заплатить значительную сумму средств, однако сохранить в тайне свои пристрастия, идущие в разрез не только с моралью, но и с законом.
Однако, под троянами-вымогателями, обычно понимают значительно более простое программное обеспечение двух основных видов:
• программы-блокировщики – локкеры
• программы шифровщики – энкодеры
Локкер - представляет собой вредоносное программное обеспечение, блокирующее работу компьютера. Название происходит от английского слова «Lock» – блокировать. Как правило, подобного рода программное обеспечение блокирует работу компьютеров путем вывода на большую часть экрана изображений непристойного характера. Основными «сюжетами» таких изображений служат порнографические сцены. Расчет идет на то, что пользователю будет стыдно, если кто-либо из его коллег по работе, родственников или друзей увидит подобные изображения.
Текст, находящийся рядом с изображением определяет порядок действий, который необходимо выполнить пользователю за избавление от изображения и продолжение работы компьютера в нормальном режиме. Суть этих действий сводится либо к пополнению счета указанного оператором софта номера телефона на указанную сумму, либо к переводу указанной суммы на электронный кошелек, либо к покупке ваучеров Ukash и иже с ними. После этого пойманному за жопу дрочеру требуется сообщить код, указанный на чеке, распечатанном терминалом, в котором проводилась оплата.
Штатными средствами, как правило, избавиться от изображения и продолжить пользоваться компьютером среднему пользователю, ввиду отсутствия ума, не под силу.
Как правило, после выполнения всех требуемых действий, изображение с экрана компьютера все равно не пропадает, и пользоваться компьютером по-прежнему невозможно. Это связано с тем, нам не выгодно разблокировать компьютер пользователя, ввиду того, что многие дрочеры производят оплату повторно, что конечно не может быть убыточно для нашего брата.
Энкодер - программа шифратор, представляет собой вредоносное программное обеспечение, которое осуществляет поиск на жестком диске компьютера всех файлов, содержащих документы и изображения, а затем зашифровывает их по какому-либо криптографическому алгоритму. Не зная ключ шифрования, произвести расшифровку файлов практически невозможно. Причем независимо от квалификации пользователя. В начале каждого текстового файла появляется надпись, содержащая инструкции по расшифровке документов пользователя.
Суть инструкции сводится также либо к пополнению счета указанного номера телефона на указанную сумму, либо к переводу указанной суммы на электронный кошелек. После этого пользователю требуется сообщить код, указанный на чеке, распечатанном терминалом, в котором проводилась оплата.
Данный вид троянов-вымогателей несколько эффективней, чем описанный выше, т.к. документы пользователя могут быть потеряны без возможности восстановления, а пользователю от этого точно не по себе.
Принцип работы описанного выше программного обеспечения достаточно прост. В первом случае резидентный процесс локкера блокирует все хэндлы операционной системы, включая терминальный, что делает невозможным, в частности, завершение процесса локкера. Исполняемый файл локкера записывается в различные места реестра операционной системы для автоматического запуска вредоносного кода вне зависимости то режима загрузки операционной системы (наиболее изящный вариант, так воовсе - в буткит, который грузиться раньше ОС).
Во втором случае, выполняется функция симметричного шифрования с заменой исходных файлов зашифрованными.
Данный тип программного обеспечения является достаточным простым в реализации даже для неопытных программистов (я не говорю про продвинутый софт, just базовый). Практически всегда для написания программ-вымогателей используются объектные языки высоко уровня, такие как C/C++, Delphy,Vb и прочие.
Средние рыночные цены на такие программы составляют 100-несколько К долларов.
Программы-блокираторы – очень динамично изменяющееся программное обеспечение, поэтому обозначить какие-то конкретные названия не представляется возможным.
