Приводятся сведения о компьютерных вирусах и кибератаках. Планируется проанализировать эти данные с целью выработки концепции программы, обнаруживающей несанкционированный сбор и передачу информации третьим лицам. Достижение это цели планируется выполнить, анализирую входящий и исходящий интернет-трафик.
Входящий трафик может содержать команды активации вирусов и параметры активации, исходящий - похищенные данные.
Условное название планируемого приложения Антишпион.
Приложение поможет, в частности, противодействовать хакерским атакам, сетевой разведке и сниффингу.
Уязвимости - это ошибки и недоработки в программном обеспечении, которые позволяют скрытно удаленно загрузить и выполнить машинный код. Вирусописатель - программист, создающий вирусы. Черный хакер - взломщик компьютерных систем, преследующий корыстные или вредительские цели.
Белый хакер - специалист по компьютерной безопасности, помогающий найти уязвимости в компьютерных системах. Крекер (англ. cracker) - тип компьютерного взломщика (взлом систем защит (в том числе и защит ПО), создатель кряков, взлом компьютерных игр и др.) Компьютерный вирус - это вид вредоносного программного обеспечения, способного тиражироваться и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи. Сигнатура атаки (вируса) - это характерные признаки вируса, используемые для его обнаружения. Большинство современных антивирусов, сканеров уязвимостей и систем обнаружения вторжений используют синтаксические сигнатуры, взятые непосредственно из тела атаки (файла вируса или сетевого пакета). Также существуют сигнатуры, основанные на поведении или аномалиях, например, слишком агрессивное обращение к какому-либо сетевому порту на компьютере. COFF- и PE-файлы. Во всех 32-разрядных ОС Windows объектные (.OBJ), библиотечные (.LIB) и исполняемые (.EXE и .DLL) файлы хранятся в едином формате COFF (Common Object File Format), который используется некоторыми системами семейства Unix и ОС VMS.
Формат PE (Portable Executable) является специализацией COFF для хранения исполняемых модулей.
Название Portable Executable связано с тем, что данный формат не зависит от архитектуры процессора, для которого построен исполняемый файл.
классические (внедряемые) вирусы. Вирус внедряется в объект-носитель, стараясь максимально скрыть свое присутствие;
вирусы-вандалы. Вирус заражает объект-носитель, не стараясь скрыть своего присутствия, при этом жертва может быть уничтожена;
вирусы-спутники. Вирус существует в виде отдельного объекта «рядом» с носителем. Заражения как такового при этом не происходит.
По принципу выбора жертвы.
вирусы-сканеры. Определяют жертву в момент активации. Могут одновременно заражать несколько объектов;
вирусы-мониторы. Отслеживают активность потенциальных объектов-носителей с целью определения возможности заражения.
По способу размещения в системе в момент выбора жертвы.
нерезидентные (пассивные) вирусы. Располагаются в определенных объектах- носителях (файлах). В ОП помещаются вместе с носителем. При освобождении ОП носителем тоже выгружаются из ОП. Используют метод сканирования. Активируются в момент загрузки носителя в ОП;
резидентные (активные) вирусы. Могут загружаться в ОП и находится в ней независимо от объекта-носителя. Используют мониторинг системы. Могут иметь отложенный механизм заражения.
По способу активации.
ручная активация;
автоматическая характерна для BOOT-вирусов и файловых вирусов в ОС с возможностью автозапуска программ;
полуавтоматическая. Характерна для вирусов-спутников;
логические бомбы. Вирус ожидает наступления определенного события;
временные бомбы. Вирус ожидает определенного момента времени.
По принципу защиты от удаления.
незащищенные вирусы;
шифрование (в том числе упаковка) - могут шифровать участки своего кода (и даже использовать при этом различные ключи шифрования, меняющиеся от экземпляра к экземпляру), но имеют при этом постоянный код шифровщика и расшифровщика;
размазывание компьютерного вируса;
обфускация (запутывание, перемешивание кода);
разные уровни полиморфизма;
метаморфизм;
активная защита (нападение на антивирусные средства, высокая степень защиты от различных методов обнаружения вирусов, в том числе от метода ложного запуска).
По степени воздействия.
не опасные (например, рассылка спама - неодобряемая деятельность);
опасные;
особо опасные.
По виду языка программирования.
ассемблер;
высокоуровневый компилируемый;
скрипт;
макрос.
По дополнительной вредоносной функциональности.
регистрация различных действия пользователя: нажатие клавиш на клавиатуре, движения и нажатие кнопок мыши и т. д.;
изменение настроек, установка программ без ведома пользователя;
объединение группы компьютеров-жертв в ботнет или зомби-сеть.
По среде обитания.
файловые (file viruses) - вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также подобные вирусы могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY. Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются. Также код вируса может быть внедрен в скрипт, написанный, например на JavaScript. Скрипт может входить в состав web-страниц;
загрузочные (boot viruses) - заражают загрузочные записи (Boot records) накопителей, разделов жестких дисков, а так же MBR (Master Boot Record) жестких дисков. Последние запускаются при запуске операционной системы, становясь ее частью;
сетевые (черви) - попадая в компьютер пользователя, самостоятельно копируют себя и распространяются по другим компьютерам, входящим в сеть;
макрокомандные вирусы (макровирусы) (macroviruses) - заражают документы, имеющие средства для исполнения макрокоманд, например, документы, созданные программой, входящей в Microsoft Office;
вирусный мистификатор (hoax) - не являющееся вирусом почтовое сообщение. На компьютер пользователя мистификация приходит в виде письма, в котором указывается на якобы распространяющийся новый вирус.
Файловые вирусы делят по механизму заражения:
паразитирующие - добавляют себя в исполняемый файл,
Анти-антивирусный вирус (anti-antivirus virus, retrovirus) - компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.
Вариант вируса, штамм, модификация (variant, modification) - модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.
Вирусная программа-червь (worm-virus) - паразитическая программа, обладающая механизмом саморазмножения. Программа способна размножать свои копии и не поражает другие компьютерные программы. Проникает на компьютер из сети (чаще всего как вложение в сообщениях электронной почты или через сеть Интернет) и рассылает свои функциональные копии на другие компьютерные сети.
Вредоносное программное обеспечение из подкласса червей включает:
Email-Worm;
IM-Worm;
IRC-Worm;
Net-Worm;
P2P-Worm.
Большинство известных компьютерных червей распространяется следующими способами:
в виде файла, отправленного во вложении в электронном письме;
в виде ссылки на интернет- или FTP-ресурс;
в виде ссылки, переданной через сообщение ICQ или IR;
через пиринговые сети обмена данными P2P (peer-to-peer);
некоторые черви распространяются как сетевые пакеты. Они проникают прямо в компьютерную память, затем активируется код червя.
Компьютерные черви могут использовать ошибки конфигурации сети (например, чтобы скопировать себя на полностью доступный диск) или бреши в защите операционной системы и приложений.
Многие черви распространяют свои копии через сеть несколькими способами.
Троянская программа (троянский конь, trojan). Проникает в компьютер под видом легального программного обеспечения, в отличие от вирусов и червей, которые распространяются самопроизвольно. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Троянские программы классифицируются в соответствии с типом действий, выполняемых ими на компьютере:
Бэкдоры - предоставляют злоумышленникам возможность удаленного управления зараженными компьютерами. Такие программы позволяют автору выполнять на зараженном компьютере любые действия, включая отправку, получение, открытие и удаление файлов, отображение данных и перезагрузку компьютера. Троянцы-бэкдоры часто используются для объединения группы компьютеров-жертв в ботнет или зомби-сеть для использования в криминальных целях.
Эксплойты - это программы с данными или кодом, использующие уязвимость в работающих на компьютере приложениях.
Руткиты - это программы, предназначенные для сокрытия в системе определенных объектов или действий. Часто основная их цель - предотвратить обнаружение вредоносных программ, чтобы увеличить время работы этих программ на зараженном компьютере.
Банковские троянцы (Trojan-Banker) предназначены для кражи учетных данных систем интернет-банкинга, систем электронных платежей и кредитных или дебетовых карт.
DDoS-троянцы. Эти программы предназначены для проведения атак типа «отказ в обслуживании» (Denial of Service, DoS) по целевым web-адресам. При такой атаке с зараженных компьютеров системе с определенным адресом отправляется большое количество запросов, что может вызвать ее перегрузку и привести к отказу в обслуживании.
Trojan-Downloader - способны загружать и устанавливать на компьютер-жертву новые версии вредоносных программ, включая троянские и рекламные программы. (Adware-программы, которые собирают данные с вашего согласия, не следует путать с троянскими программами-шпионами, которые собирают информацию без вашего разрешения и ведома. Если Adware-программа не уведомляет о сборе информации, она считается вредоносной, например, вредоносная программа троянец-шпион, Trojan-Spy.)
Trojan-Dropper - используются хакерами, чтобы установить троянские программы и/или вирусы или предотвратить обнаружение вредоносных программ. Не каждая антивирусная программа способна выявить все компоненты троянских программ этого типа.
Trojan-FakeA - имитируют работу антивирусного программного обеспечения. Они созданы, чтобы вымогать деньги у пользователя в обмен на обещание обнаружения и удаления угроз, хотя угроз, о которых они сообщают, в действительности не существует.
Игровые троянцы - крадут информацию об учетных записях участников сетевых игр.
IM-троянцы (Trojan-IM) крадут логины и пароли к программам мгновенного обмена сообщениями, таких, как ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и пр.
Trojan-Ransom - могут изменить данные на компьютере таким образом, что компьютер перестает нормально работать, а пользователь лишается возможности использовать определенные данные. Злоумышленник обещает восстановить нормальную работу компьютера или разблокировать данные после уплаты запрашиваемой суммы.
SMS-троянцы - отправляют текстовые сообщения с мобильного устройства на платные телефонные номера с повышенным тарифом, тратя ваши деньги.
Шпионские программы (Trojan-Spy) - способны скрыто наблюдать за использованием компьютера, например, отслеживая вводимые с клавиатуры данные, делая снимки экрана и получая список работающих приложений.
Trojan-Mailfinder - способны собирать на вашем компьютере адреса электронной почты.
Также встречаются другие виды троянских программ:
Trojan-ArcBomb,
Trojan-Clicker,
Trojan-Notifier,
Trojan-Proxy,
Trojan-PSW.
Вирусы-спутники, вирусы-компаньоны (Virus-companion) - формально являются файловыми вирусами. Не внедряются в исполняемые программы. Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами. Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой. Большинство таких вирусов создают COM-файл, который обладает более высоким приоритетом нежели EXE-файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением СОМ. Такие вирусы могут быть резидентными и маскировать файлы-двойники.
Дроппер (Dropper) - файл-носитель, устанавливающий вирус в систему. Техника, иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ.
Зоологический вирус (Zoo virus) - вирус, существующий только в антивирусных лабораториях, в коллекциях исследователей вирусов и не встречающийся в "дикой природе".
Полиморфные вирусы (Polymorphic viruses), или вирусы с самомодифицирующимися расшифровщиками - модифицируют себя в зараженных программах таким образом, что два экземпляра одного и того же вируса могут, вообще говоря, не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные ключи шифрования, но и содержат код генерации шифровщика и расшифровщика. Это приводит к отсутствию у вируса байтовых сигнатур. Расшифровщик не является постоянным, он уникален для каждого экземпляра вируса. Замечание. Одним из простых и эффективных приемов шифрования является модификация каждого байта шифруемого текста с помощью какой-либо обратимой операции. В качестве такой операции можно использовать, например, операцию xor - исключающее ИЛИ. В процессе шифрования выбирается некоторый параметр K (ключ шифрования) и каждый байт B шифруемого текста заменяется на число K xor B. Расшифровщик проделывает ту же самую операцию. Легко видеть, что (K xor B) xor K = B.
Обычные вирусы могут быть обнаружены по некоторой фиксированной последовательности байт (маске, сигнатуре). Обычные шифрованные вирусы также могут быть обнаружены этим способом. Шифрованные вирусы с изменяющимся ключом шифрования тоже не создают дополнительных трудностей, надо только выделять сигнатуру в теле процедуры шифрования (расшифрования). В полиморфных вирусах расшифровщик не является постоянным - он уникален для каждого экземпляра. Данная особенность не позволяет детектировать вирус упомянутым выше традиционным способом.
Уровни вирусного полиморфизма:
Вирусы могут использовать некоторые постоянные параметры для разных своих расшифровщиков. Такие вирусы можно определить по некоторым постоянным участкам кода в расшифровщике. Их иногда называют слабополиморфными, или олигоморфными (oligomorphic).
Примеры олигоморфных вирусов: Cheeba.A (2 расшифровщика), December_3rd (2), Slovakia.3_0 (8), V-Sign (6), Whale (34).
Расшифровщик имеет постоянной одну или несколько инструкций. Например, использует различные регистры, некоторые альтернативные инструкции. Такие вирусы также можно определить по маске - сочетаниям определенных байт в расшифровщике.
Примеры: ABC, DM.330, Flip, Jerusalem.Moctezuma, Ontario.1024, PC-Flu, Phoenix.Proud, Seat, Stasi, Suomi, Virus-101, VS.4000...
Вирусы, использующие в расшифровщике команды, не участвующие в расшифровке вирусного кода, или команды-мусор. Это такие команды, как NOP, MOV AX,AX, STI, CLD, CLI... Данные вирусы так же можно детектировать с помощью маски, если отсеять все такие команды.
Примеры: Tequila, StarShip, V2Px.V2P6, DrWhite...
Вирусы могут использовать в расшифровщике взаимозаменяемые инструкции и перемешивать команды без изменения алгоритма расшифровки. Например, команда MOV AX,BX имеет взаимозаменяемые инструкции: PUSH BX - POP AX; XCHG AX,BX; MOV CX,BX - MOV AX,CX... В принципе, возможно детектирование данных вирусов с помощью некоторой перебираемой маски.
Вирусы, использующие механизмы вирусов всех описанных выше уровней. Помимо этого, расшифровщик может использовать различные алгоритмы расшифровки вирусного кода. Также возможно использование для расшифровки основного вирусного кода расшифровки части самого же расшифровщика или нескольких расшифровщиков, поочередно расшифровывающих друг друга либо непосредственно вирусный код. Как правило, детектирование вирусов данного уровня полиморфизма с помощью сигнатуры невозможно. Процессы детектирования и особенно лечения такого вируса - очень сложные задачи. Они могут занимать значительное время. Если для детектирования такого вируса достаточно проанализировать только код расшифровщика (что само по себе непросто), то при лечении необходимо произвести частичную или полную расшифровку тела вируса для извлечения информации о зараженном файле. Лечение вирусов этого уровня полиморфизма производят далеко не все антивирусные программы.
Вирусы 4-го и 5-го уровней: MtE, TPE, APE, , DSCE, NED, MGEN, CLME, SMEG-based, Uruguay...
Вирусы, не шифрующие свой код, а перемешивают кусочки самих себя. Эти вирусы тасуют свои подпрограммы (инсталляции, заражения, обработчика прерывания, анализа файла и т.д.). Такие вирусы называются пермутирующими (permutating).
Примеры: BadBoy, CommanderBomber, Leech, EA.Asmodeus.xxxx...
MtE вирусы (MtE viruses) - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.
Резидентный вирус (Memory resident virus) - постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си. Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия, например, при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентные.
Скрипт-вирусы (Script viruses) - вирусы, написанные на языках Visual Basic, Basic Script, Java Script. На компьютер пользователя такие вирусы чаще всего проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и интерпретироваться браузером, причем не только с удаленного сервера, но и с локального диска.
Стелс-вирусы (Stealth viruses) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.
Можно выделить два основных типа стелс-вирусов: руткит (rootkit) и буткит (bootkit).
Стелс-технология может включать:
затруднение обнаруженья вируса в оперативной памяти;
затруднение трассировки и деассемблирования вируса;
маскировку процесса заражения;
затруднение обнаружения вируса в зараженной программе и загрузочном секторе.
Шифрованные вирусы (Encrypted viruses) - вирусы, которые сами шифруют свой код для затруднения их деассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать короткий общий фрагмент - процедуру расшифровки, который можно выбрать в качестве сигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.
Разного рода съемные накопители данных (дискеты, флеш-накопители и пр.).
Разного рода устройства (цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры, мобильные телефоны, смартфоны и пр.).
Системы обмена информацией (электронная почта, системы обмена мгновенными сообщениями и пр.).
Web-страницы.
Интернет и локальные сети. По этим каналам проникают черви. Они используют дыры (уязвимости) в программном обеспечении операционных систем. Вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или интернет.
Хакерская атака - это покушение на систему безопасности.
Любая атака использует несовершенство системы безопасности либо для получения информации, либо для нанесения вреда системе.
Это действие, целью которого является захват контроля (повышение прав) над удаленной/локальной вычислительной системой, либо ее дестабилизация, либо отказ в обслуживании.
Большое количество почтовых сообщений делают невозможными работу с почтовыми ящиками, а иногда и с целыми почтовыми серверами. Для этой цели было разработано множество программ, и даже неопытный пользователь мог совершить атаку, указав всего лишь e-mail жертвы, текст сообщения, и количество необходимых сообщений. Многие такие программы позволяли прятать реальный IP-адрес отправителя, используя для рассылки анонимный почтовый сервер, Эту атаку сложно предотвратить, так как даже почтовые фильтры провайдеров не могут определить реального отправителя спама. Провайдер может ограничить количество писем от одного отправителя, но адрес отправителя и тема зачастую генерируются случайным образом.
Распространенный тип атаки в Интернете. Принцип данной атаки построен на использовании программных ошибок, позволяющих вызвать нарушение границ памяти и аварийно завершить приложение или выполнить произвольный бинарный код от имени пользователя, под которым работала уязвимая программа. Если программа работает под учетной записью администратора системы, то данная атака позволит получить полный контроль над компьютером жертвы, поэтому рекомендуется работать под учетной записью рядового пользователя, имеющего ограниченные права на системе, а под учетной записью администратора системы выполнять только операции, требующие административные права.
Троянские кони, черви, снифферы, руткиты и другие специальные программы.
Этот вид атаки представляет собой более изощренный метод получения доступа к закрытой информации - это использование специальных программ для ведения работы на компьютере жертвы. Такие программы предназначены для поиска и передачи своему владельцу секретной информации, либо просто для нанесения вреда системе безопасности и работоспособности компьютера жертвы, а также дальнейшего распространения (это вирусы и черви). Принципы действия этих программ различны.
В ходе такой атаки крэкер собственно не производит никаких деструктивных действий, но в результате он может получить закрытую информацию о построении и принципах функционирования вычислительной системы жертвы. Полученная информация может быть использована для грамотного построения предстоящей атаки, и обычно производится на подготовительных этапах. В ходе такой разведки злоумышленник может производить сканирование портов, запросы DNS, эхо-тестирование открытых портов, наличие и защищенность прокси-серверов. В результате можно получить информацию о существующих в системе DNS-адресах, кому они принадлежат, какие сервисы на них доступны, уровень доступа к этим сервисам для внешних и внутренних пользователей.
Вид атаки, основанный на работе сетевой карты в режиме promiscuousmode, а также monitormode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемым сниффером, для обработки. В результате злоумышленник может получить большое количество служебной информации: кто, откуда, куда передавал пакеты, через какие адреса эти пакеты проходили. Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании.
В неразборчивом режиме сетевая плата позволяет принимать все пакеты независимо от того, кому они адресованы. Эта возможность обычно используется в сетевых анализаторах трафика. В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В неразборчивом режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему. Большинство операционных систем требуют прав администратора для включения неразборчивого режима. Данный режим позволяет выполнять мониторинг трафика только в данном коллизионном домене (для Ethernet или беспроводных сетей) или кольце (для сетей Tokenring или FDDI), потому использование сетевых концентраторов является менее безопасным решением, чем коммутаторов, так как последние не передают трафик всем вне зависимости от адреса назначения. Неразборчивый режим часто используется снифферами - специализированными программами позволяющими отображать и анализировать сетевой трафик для диагностики сетевых неполадок. Такие программы позволяют легко перехватывать пароли и конфиденциальные данные, передаваемые по сети в незащищенном виде, чтобы избежать этого рекомендуется использовать защищенные протоколы, в том числе SSL и различные варианты VPN/IPSec.
Анализатор трафика, или сниффер (от англ. to sniff - нюхать) - сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов. Во время работы сниффера сетевой интерфейс переключается в режим прослушивания (Promiscuousmode), что и позволяет ему получать пакеты, адресованные другим интерфейсам в сети. Перехват трафика может осуществляться: обычным «прослушиванием» сетевого интерфейса; подключением сниффера в разрыв канала; ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер; через анализ побочных электромагнитных излучений и восстановление, таким образом, прослушиваемого трафика; через атаку на канальном или сетевом уровне, приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.
Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:
обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи;
выявить в сети вредоносное и несанкционированное ПО;
локализовать неисправность сети или ошибку конфигурации сетевых агентов;
перехватить любой не зашифрованный пользовательский трафик с целью получения паролей и другой информации.
Вид атаки в недостаточно защищенных сетях, когда злоумышленник выдает себя за санкционированного пользователя, находясь в самой организации, или за ее пределами. Для этого крэкеру необходимо воспользоваться IP-адресом, разрешенным в системе безопасности сети. Такая атака возможна, если система безопасности позволяет идентификацию пользователя только по IP-адресу и не требует дополнительных подтверждений.
Вид атаки, когда злоумышленник перехватывает канал связи между двумя системами и получает доступ ко всей передаваемой информации. При получении доступа на таком уровне можно модифицировать информацию нужным образом, чтобы достичь своих целей. Цель такой атаки - кража или фальсифицированные передаваемой информации, или же получение доступа к ресурсам сети. Такие атаки крайне сложно отследить, так как обычно злоумышленник находится внутри организации.
Атака, связанная с различного рода инъекциями, подразумевает внедрение сторонних команд или данных в работающую систему с целью изменения хода работы системы, а в результате получение доступа к закрытым функциям и информации, либо дестабилизации работы системы в целом. Наиболее популярна такая атака в сети Интернет, но также может быть проведена через командную строку системы.
Виды инъекций:
SQL-инъекция.
Атака, в ходе которой изменяются параметры SQL-запросов к базе данных. В результате запрос приобретает совершенно иной смысл, и в случае недостаточной фильтрации входных данных способен не только произвести вывод конфиденциальной информации, но и изменить/удалить данные. Очень часто такой вид атаки можно наблюдать на примере сайтов, которые используют параметры командной строки (переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.
PHP-инъекция.
Один из способов взлома web-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить специально сформированный злонамеренный сценарий в код web-приложения на серверной стороне сайта, что приводит к выполнению произвольных команд. Известно, что во многих распространенных в интернете бесплатных движках и форумах, работающих на PHP (чаще всего это устаревшие версии), есть непродуманные модули или отдельные конструкции с уязвимостями. Крэкеры анализируют такие уязвимости, как не экранированные переменные, получающие внешние значения.
Cкрипт-инъекция или XSS (от англ. Cross Site Scripting).
Тип уязвимости интерактивных web-информационных систем. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в http-cookies могут быть весьма уязвимые данные (например, идентификатор сессии администратора). На популярном сайте скрипт может устроить DoS-атакy. Примерами такого кода являются html-код и скрипты, выполняющиеся на стороне клиента, чаще всего JavaScript.
XPath-инъекция.
Вид уязвимостей, который заключается во внедрении XPath-выражений в оригинальный запрос к базе данных XML. Как и при остальных видах инъекций, уязвимость возможна ввиду недостаточной проверки входных данных.
Автозалив.
Web-инъекция, действующая по принципу троянских программ, основная цель которой заключается во внедрении в учетную запись (аккаунт) пользователя в платежной системе, незаметной подмене данных транзакции путем модификации HTML-кода и переводе средств пользователя на счет злоумышленника.
Использование некомпетентности, непрофессионализма или небрежности персонала для получения доступа к информации. Этот метод обычно применяется без компьютера, с использованием обычного телефона или почтовой переписки. Таким образом обычно получается самая разнообразная информация. В ходе такой атаки злоумышленник устанавливает контакт с жертвой и, вводя ее в заблуждение либо войдя в доверие, пытается получить необходимые сведения.
Атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой вид атаки не подразумевает получение некоторой секретной информации, но иногда бывает подспорьем в инициализации других атак. Например, некоторые программы из-за ошибок в своем коде могут вызывать исключительные ситуации и при отключении сервисов способны исполнять код, предоставленный злоумышленником.
Причиной DoS может послужить атака лавинного типа, когда сервер не может обработать огромное количество входящих пакетов.
Подтип DoS атаки, имеющий ту же цель что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, приводящих к отказу сервиса, либо срабатывание защиты, приводящей к блокированию работы сервиса, а в результате также к отказу в обслуживании.
DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака.
DDoS-атаки на интернет ресурсы проходят через провайдера. Для сопротивления DDoS-атакам провайдеру достаточно установить специальную аппаратуру.
Приложения, которые используются для компьютерных атак, нередко создаются таким образом, чтобы позволить лицу, имеющему незначительный опыт компьютерной деятельности, осуществить атаку. Для этого достаточно задать требуемые настройки и нажать на кнопку Старт, чтобы инициировать кибератаку.
Известны случаи, когда кибератаки были организованы лицами, которые пользовались распространяемыми в интернете вредоносными программами. Так, в 2012 г. житель Красноярска, действуя по инструкциям международной хакерской группы Anonymous и используя предоставляемое этой группой вредоносное программное обеспечение, предпринял хакерскую атаку на официальный сайт президента России, в результате чего данный ресурс оказался заблокированным в течение часа. (Хакерская группа Anonymous ранее практиковала размещение в интернете видеоматериалов, содержащих информацию об организации хакерских атак.)
По данному факту следственный отдел УФСБ России по региону возбудил уголовное дело по ч. 1 ст. 273 УК РФ (создание, использование и распространение вредоносной компьютерной программы, до 4-х лет лишения свободы).